SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL Pós-Graduação em Governança de TI

Tamanho: px
Começar a partir da página:

Download "SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL Pós-Graduação em Governança de TI"

Transcrição

1 SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL Pós-Graduação em Governança de TI Inez Freire Raguenet Mitigando o Impacto Causado por Falhas Involuntárias Com o Auxílio da Governança da Segurança da Informação Curitiba 2012

2 SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL Pós-Graduação em Governança de TI Inez Freire Raguenet Mitigando o Impacto Causado por Falhas Involuntárias Com o Auxílio da Governança da Segurança da Informação Trabalho de conclusão de curso apresentado como requisito para a Pós-Graduação em Governança de TI apresentado ao SENAC de Curitiba PR Orientadora: Denise Maria Vecino Sato Curitiba 2012

3 RESUMO A questão da Segurança da Informação é um assunto que envolve a proteção de informações, estejam elas guardadas em unidades de armazenamento fixas, móveis, próprias, sublocadas ou nas redes sociais da Internet. Independentemente do meio em questão, as informações, corporativas ou pessoais, são ativos, objetos que possuem algum tipo de valor, manipulados por pessoas, e não podem ser divulgados, ou vazados, sem a permissão expressa de seu proprietário. A implementação de um framework de Governança da Tecnologia da Informação (GTI), como o COBIT, promete trazer um alento aos preocupados Gerentes de Segurança da Informação: melhores práticas que visem garantir a segurança da informação são sempre bem-vindas, mesmo que sua adoção signifique ser necessário fazer uma mudança significativa no modo de agir dentro de uma corporação. Porém, a adoção destas novas práticas pode não ser suficiente para mudar ou influenciar o modo de pensar do ser humano: sem um entendimento da importância do sigilo requerido ou sem o compromentimento pessoal de todos, sem exceção, o surgimento de falhas de segurança, ocasionadas por ações involuntárias de alguma pessoa, pelo elo mais fraco da cadeia, pode ser um problema inevitável. Neste trabalho, pretendemos sugerir que, para minimizar a influência deste elo mais fraco nas práticas da Segurança da Informação, algumas atitudes próativas devem ser tomadas em adição à adoção do modelo de GTI. Em especial, vamos sugerir a adoção do modelo CERT-RMM, projetado especificamente para suportar e fortalecer as práticas da Governança da Segurança da Informação, como medida adicional para mitigar as falhas de segurança causadas pelos elos mais fracos.

4 ABSTRACT Information Security is a subject that involves all ways of protecting data, regardless where the files are physically stored or what kind of media is used to hold them. Data becomes an asset when it holds information of any kind and this asset cannot be duplicated, spread or shared unless its owner has given proper permissions. Security Information managers concerns may be diminished by implementing a governance framework for Information Technology, like COBIT: the best practices are always welcome if they are meant to protect data, even if it means changing significantly the way people will deal with these assets. However, implementing these best practices may not be enough to change the way people think. It is paramount that people understand the importance of commitment, of preserving data and information from falling on the wrong hands; if not, security incidents are bound to happen due to someone s inadvertent mistake, someone whom we may call the weakest link. This work will show that the weakest link problem may be at least minimized, or even solved, by adding some proactives tasks to the governance framework for Information Technology which should already be in place. By introducing the term operational resilience and presenting a framework designed especially for giving the needed additional strength for the job of securing data and information, CERT-RMM, we strongly believe that this complementary measure shall give Security Information administrators some hope against security incidents caused by inadvertent mistakes.

5 LISTA DE ILUSTRAÇÕES Figura 1 Processo de Implementação da SI - ISO (CARLSON, 2001)... 8

6 LISTA DE TABELAS Tabela 1 - Áreas de Processo do CERT-RMM Tabela 2 - Objetivos e Práticas - VAR - CERT-RMM Tabela 3 - Grau de Impacto do Incidente Tabela 4 - Estudo de Caso Tabela 5 - Resiliência para o Caso Tabela 6 - Estudo de Caso Tabela 7 - Resiliência para o Caso Tabela 8 - Estudo de Caso Tabela 9 - Resiliência para o Caso Tabela 10 - Estudo de Caso Tabela 11 - Resiliência para o Caso

7 LISTA DE SIGLAS BYOD Bring Your Own Device CERT Computer Emergency Response Team CERT-RMM - CERT Resilient Management Model CMS Content Management System COBIT - Control Objectives for Information and Related Technologies DoS Denial of Service IBM International Business Machines ISACA - International Systems Audit and Control Association GC Governança Corporativa GSI Governança da Segurança da Informação GTI Governança da Tecnologia da Informação ITGI IT Governance Institute PC Personal Computer, Computador Pessoal SEC U.S. Securities and Exchange Comission SEI Software Engineering Institute TI Tecnologia da Informação VAR Vulnerability Analysis and Resolution VPN Virtual Private Network

8 SUMÁRIO 1. INTRODUÇÃO SEGURANÇA, VULNERABILIDADES, GC E GTI: O ELO MAIS FRACO Segurança e Vulnerablidades Governança Corporativa e Governança da Tecnologia da Informação O elo mais fraco e as falhas involuntárias A governança de TI e o COBIT Segurança da Informação e a Governança da Segurança da Informação IMPLEMENTANDO A GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO COM O COBIT A Segurança da Informação segundo o ITGI O COBIT Security Baseline Os 39 passos Kit 1 Usuários Domésticos Kit 2 Usuários Profissionais Kit 3 Gerentes Kit 4 Executivos Kit 5 Executivos Seniores Kit 6 Diretoria Sumário dos Riscos Técnicos de Segurança RESILIÊNCIA: MITIGANDO O IMPACTO CAUSADO POR INCIDENTES DE SEGURANÇA Resiliência Operacional O Modelo CERT-RMM Organização dos objetivos e práticas do CERT-RMM Objetivos e Práticas Genéricas da Área de Processo VAR Objetivos e Práticas Específicas da Área de Processo VAR... 27

9 4.2.4 VAR:SG1: Preparo para a Análise e Resolução de Vulnerabilidades VAR:SG2: Identificar e Analisar Vulnerabilidades VAR:SG3: Administrar a Exposição a Vulnerabilidades VAR:SG4: Identificar as Causas ESTUDOS DE CASO Caso 1: Vazamento de Dados da Medicare de New Hampshire, Estados Unidos Caso 2: Vazamento de Dados em Indianapolis, Estados Unidos Caso 3: Extravio de CDs Contendo Dados Pessoais de Pacientes de 12 Hospitais, Estados Unidos Caso 4: Trânsito Não-Criptografado de Dados Privativos de Funcionários da SEC Security and Exchange Comission, Estados Unidos CONCLUSÃO E TRABALHOS FUTUROS REFERÊNCIAS... 43

10

11 1 1. INTRODUÇÃO Este trabalho tem o objetivo de analisar a práticas de segurança em Tecnologia da Informação preconizadas pelos modelos conhecidos de Governança em Tecnologia da Informação (GTI) e também de Governança de Segurança da Informação (GSI). A intenção é a de sugerir um aumento da eficácia destes modelos, através da sua combinação com práticas de outros modelos, também de segurança em TI, mas baseados em filosofias diferentes. No caso específico deste trabalho, as práticas adicionais sugeridas serão baseadas na filosofia de resiliência operacional. De uma forma geral, a proposta é a de apresentar uma solução para alguns dos problemas de segurança em informação, característicos da aplicação de Tecnologia da Informação (TI) em ambientes corporativos, e que podem surgir mesmo após a adesão a um modelo de Governança Corporativa (GC) ou de Governança em Tecnologia da Informação (GTI). Será demonstrado que, apesar de os processos de GC e de GTI contemplarem amplamente os aspectos relativos à segurança da informação, muitos ambientes corporativos ainda apresentam problemas graves de segurança em TI mesmo após sua adoção. Isto ocorre, basicamente, por dois motivos: o primeiro advém da constatação de que TI é composta não só por tecnologia e processos, mas também por pessoas, estas últimas "o elo mais frágil no comprometimento do ativo informacional" (BEAL, 2008). Problemas gerados por pessoas, em especial quando provenientes de falhas involuntárias, são imprevisíveis mas não menos comprometedores. O segundo motivo diz respeito à preferência de adoção, pela maioria das corporações, do modelo COBIT de Governança de TI. Considerando-se que o modelo COBIT tende a tratar TI dentro de uma visão holística, suas melhores práticas são orientadas à TI em geral, não tendo um foco específico em segurança em TI. Além disso, pesquisa realizada em 2010 (TEMPONI, 2010) mostrou que corporações que priorizam a adesão à GC podem ter sua atenção desviada de uma estratégia de adesão à Governança da Segurança da Informação (GSI), assim aumentando a possibilidade de aparecimento das falhas de segurança. Como solução para este problema, será sugerida, neste trabalho, a adoção de um sistema adicional de GSI, independente do COBIT, denominado CERT-RMM. Por ser um modelo de GSI voltado para a administração da resiliência operacional de TI, espera-se que sua adesão, adicionalmente às práticas do COBIT, irá criar a formalização necessária para as práticas corporativas de segurança em TI. A adoção de dois modelos complementares tem o intuito de alcançar uma melhoria operacional em TI e, consequentemente, uma diminuição dos riscos de

12 2 ocorrência de falhas involuntárias ou, em última instância, uma redução do impacto causado por estas falhas. O texto está dividido da seguinte maneira: a Introdução apresenta o objetivo geral deste trabalho; a Seção 2, apresentará alguns conceitos relacionados com o termo segurança da informação, tratará das vulnerabilidades nos sistemas de informação, do problema do elo mais fraco como motivo das falhas de segurança, da questão da adesão à Governança Corporativa e seu relacionamento com a Governança da Segurança da Informação. Ainda na Seção 2, será apresentado o conceito de Governança de TI (GTI) e o framework COBIT. Na Seção 3 será apresentado o Guia de Sobrevivência do COBIT, um manual dedicado às melhores práticas em Segurança da Informação, extraído e adaptado do COBIT v4.1. Na Seção 4, será conceituado o termo resiliência operacional e apresentada sua aplicação à segurança da informação através do modelo de GSI, CERT-RMM. A Seção 5 traz quatro estudos de caso nos quais houve algum tipo de incidente envolvendo falhas na segurança da informação. Cada um destes casos será primeiramente analisado sob o ponto de vista da GSI apoiada no COBIT; em seguida, para cada caso, serão apresentadas as práticas sugeridas pelo CERT-RMM que evitariam, ou mitigariam, o impacto decorrente do incidente. Finalmente, na Seção 6, será feita uma conclusão deste trabalho e sugerido um caminho para trabalhos futuros. 2. SEGURANÇA, VULNERABILIDADES, GC E GTI: O ELO MAIS FRACO 2.1 Segurança e Vulnerablidades Podemos considerar, atualmente, o conceito de Segurança da Informação como sendo de amplo conhecimento em geral, pois atinge tanto as pessoas comuns quanto os especialistas em Tecnologia da Informação (TI). Formalmente, este conceito é baseado na tríade CIA: em inglês Confidentiality (Confidencialidade), Integrity (Integridade) e Availability (Disponbilidade). Isto significa que, em resumo, as ferramentas de segurança de TI devem garantir que dados não serão acessados por fontes não autorizadas, estarão sempre íntegros e disponíveis para acesso. Previsões feitas para o início do século XXI indicavam, porém, que o conceito de confidencialidade seria o mais difícil de se garantir ante ao fortalecimento da tecnologia dedicada a disponiblizar dados de maneira geral, em vista da mudança de contexto de uso da informação, principalmente no tocante à questão da privacidade versus usabilidade da

13 3 informação (DHILLON, BACKHOUSE, 2000). Em vista destas mudanças no conceito de segurança da informação, novos parâmetros deveriam ser incluídos na base de sua definição. Seriam eles: responsabilidade, confiança e ética. Estes parâmetros estariam diretamente relacionados ao modo com que as pessoas lidam com a informação, não bastando mais garantir as bases da segurança através de pura tecnologia: agora seria necessário controlar as pessoas que lidam com a informação, ou seja, estabelecer um nível de confiabilidade que atingisse não só a tecnologia, mas a consciência das pessoas. O conceito de vulnerabilidade pode ser diretamente associado ao conceito de riscos. O crescente uso da tecnologia da informação, associado à facilidade de comunicação e troca de dados pela Internet, vistos como suportes essenciais ao andamento dos negócios, faz aumentar o risco de perda ou vazamento de informações. Vulnerabilidades são encaradas como decorrentes de falhas técnicas de implementação em protocolos de comunicação, dos sistemas operacionais ou das técnicas de programação utilizadas e, muitas vezes, decorrentes de falta de investimento adequado nos processos de avaliação e mitigação de riscos. Por este motivo, as situações de onde se originam as vulnerabilidades de sistemas são frequentemente tratadas somente quando o risco é iminente e inevitável, ou quando o dano já foi causado (LONGSTAFF, 2000). Além disso, poderíamos também atribuir as vulnerabilidades e os riscos como decorrência de certas atitudes humanas, ou seja, como consequência direta do nível de importância que as pessoas dão à segurança da informação que elas têm em mãos. Em 2003, uma pesquisa realizada por especialistas em segurança de TI (WHITMAN, 2003) concluiu que empregados, gerentes e administradores de alto nível ignoravam igualmente a importância da segurança da informação, especialmente com relação aos dados corporativos. Executivos de alto escalão identificavam a segurança da informação como um assunto importante mas não crítico. Muitas vezes, uma abordagem inicial, mas não completa, na implementação da segurança, era suficiente para os tomadores de decisão considerarem o dever cumprido e desconsiderarem investimentos futuros no assunto (WHITMAN, 2003). O desafio, então, seria encontrar uma forma de garantir que regras de segurança sejam implementadas, independentemente do entendimento conveniente dos executivos e administradores. E também, de implementar uma forte Governança Corporativa (GC), aliada a uma forte Governança da Tecnologia da Informação (GTI) para minimizar o fracasso dos esforços em melhorar a percepção das pessoas como relação à importância da segurança da informação.

14 4 2.2 Governança Corporativa e Governança da Tecnologia da Informação O conceito de Governança Corporativa (GC) pode ser considerado uma decorrência do conflito de interesses entre gestores de corporações e seus acionistas, associado à falta de transparência com que os gestores dirigiam seus negócios. Deste conflito, surgiu a necessidade de se estabelecerem regras de conduta e de se criarem mecanismos, tanto de incentivos como de monitoramento, de modo que acionistas e executivos pudessem assegurar o alinhamento de seus interesses. Adotando-se um modelo de governança corporativa, proprietários e acionistas da corporação em questão teriam garantido o acesso à gestão estratégica e o controle de propriedade. Consequências diretas da adoção da GC incluiriam a transparência administrativa, a prestação de contas obrigatória, a equidade e a responsabilidade corporativa (IBGC, 2012). Consequências indiretas, e desejadas, incluiriam o monitoramento dos investimentos e dos gastos financeiros. Em suma, optar pela GC seria, em última instância, criar uma opção de controlar e monitorar o direcionamento corporativo, principalmente no quesito financeiro (diminuir as perdas, aumentar os lucros). Com TI não poderia ser diferente. Por ser uma intensa fonte de investimentos e despesas, TI é por vezes vista como um sumidouro de dinheiro, uma área onde o investimento é crescente e constante. Em TI, a avaliação do retorno de seus investimentos pode ser tão difícil quanto a avaliação, positiva ou negativa, dos resultados dos serviços que presta. Como atualmente, as corporações detêm uma dependência estratégica em TI, é coerente exigir-se que TI esteja alinhada ao negócio, apresente a transparência necessária para os demonstrar seus resultados, além de ser, de alguma maneira, regulada, medida e melhorada. Para que isto aconteça, nada mais natural do que se aproveitar dos modelos de GC, criando-se um subconjunto seu, a Governança da Tecnologia da Informação (GTI). O objetivo maior da GTI, então, será o de proporcionar um controle sobre o impacto que TI tem nas estratégias de negócio. Mas, apesar de TI se desenvolver em ambientes técnicos, a GTI é, antes de tudo, uma atividade cuja responsabilidade é igualmente atribuída tanto à alta administração quanto à gerência especializada (FERNANDES, 2009). É importante apontar que, sem o apoio decisório da administração, a GTI não se sustenta; as decisões devem ser compartilhadas, as regras definidas em comum acordo, a organização e os processos estabelecidos em conjunto com a direção corporativa, de modo que TI esteja orientada a prover os serviços para a empresa de maneira controlada, monitorada e alinhada aos negócios.

15 5 2.3 O elo mais fraco e as falhas involuntárias A história de TI mostra que sempre houve um elo mais fraco na cadeia de segurança da informação. Nas décadas de 1960 e 1970, dominadas por mainframes que operavam isolados em seus centros de operação, a segurança da informação estaria comprometida no caso de uma invasão física aos locais de instalação dos computadores sendo, portanto, a preocupação com a segurança voltada ao controle de acesso de pessoas aos centros operacionais. Com o advento dos computadores pessoais (PCs) na década de 1980, a ameaça, não exatamente à segurança, mas à operacionalidade dos PCs, veio com a disseminação dos vírus de computador. Estes vírus evoluíram na mesma proporção em que os PCs cresceram, se multiplicaram e se interconectaram, passando então a figurar como, em especial, um elemento de ameaça à segurança das informações contidas em qualquer dispositivo seu de armazenamento de dados. Atualmente, a estação de trabalho, elemento composto pelo PC de um usuário, associado ao seu sistema operacional, programas aplicativos, interconexões com redes, servidores e outros PCs, pode ser considerada o elo mais fraco desta cadeia (ARCE, 2003). A estação de trabalho hoje é um dos elementos por onde passam as informações mais preciosas da organização e sua segurança é responsabilidade, em última instância, do ser humano que a opera. Sob este ponto de vista, uma estação de trabalho por si só não deve ser considerada um elo mais fraco se não acrescentarmos a ela o seu operador, o usuário, o ser humano que a conduz. Humanos operam e controlam as estações de trabalho, portanto o sucesso de uma estratégia para segurança da informação depende tanto do aparato tecnológico de proteção às informações nos meios que a armazenam (com anti-virus, firewalls, etc.), quanto do entendimento da importância do conceito de segurança que seus operadores devem incorporar como parte de seu comportamento profissional. Efetivamente, em pesquisa realizada em 2001 (SASSE, 2001) identificou-se que a fraqueza do lado humano, na ciência da Seguranca da Informação, é o aspecto mais facilmente explorado e, ainda assim, desprezado pelos sistemas de segurança de uma organização. Isto significa que o caminho para aumentar o grau de segurança em TI não consiste somente em desenvolver técnicas de segurança cada vez mais complexas, mas também em conscientizar o usuário da importância do conceito de segurança de tudo que envolve TI no seu ambiente de trabalho. Como exemplo, podemos citar algumas políticas de segurança em TI que estabelecem regras rígidas para composição de senhas, aliadas à obrigatoriedade de trocas periódicas, sem repetição, como mecanismo de segurança adicional ao tradicional controle de acesso por senha. Evidentemente, uma quantidade excessiva de

16 6 regras de criação e de troca periódica de senhas acaba por levar o usuário a um ponto de simplificação: anotá-las e deixá-las em lugar de fácil acesso (debaixo do teclado, por exemplo). Neste caso, o mecanismo de segurança deflagra uma ação contrária que o enfraquece, torna-o ineficaz e, para piorar, cria um outro mecanismo que facilita a ação contrária, no caso, a quebra de sigilo. Identificaremos, daqui por diante, este tipo de ação, decorrente do comportamento humano, não consciente, não controlado e, por vezes, decorrente das dificuldades criadas pelo excesso de mecanismos tecnológicos de segurança, como apontado na literatura especializada: as falhas involuntárias (inadvertent staff mistakes) Em suma, as falhas involuntárias seriam ações tomadas por usuários de computadores que, ao tentar executar seu trabalho, deparam-se com dificuldades no entendimento das normas de segurança exigidas às vezes para cumprir uma única tarefa elementar. Por vezes, o excesso de normas ou seu alto nível de dificuldade leva o usuário a, simplesmente, ignorá-las, seja por desatenção, ignorância ou descaso. Ainda com relação ao comportamento indiferente, por assim dizer, de usuários em relação às normas impostas em segurança de TI, convém esclarecer que o comportamento humano, em relação à obediência de normas impostas, ainda é uma ciência inexata. Em um trabalho publicado em 2007 (PAHNILA, 2007), os autores tentaram apontar quais aspectos influenciariam a observância das regras de segurança de TI, pelos usuários, dentro de uma corporação. Foram considerados desde aspectos comportamentais dos usuários diante da qualidade dos sistemas, passando por hábitos, atitutes e comportamento em grupo, até aspectos administrativos como, por exemplo, sanções aplicadas a funcionários que descuidassem da segurança, e ainda premiações para funcionários bem sucedidos no quesito segurança. A conclusão do estudo é que todos aspectos influenciam, de certa maneira, a observância ou a inobservância das normas de segurança de uma organização. De forma surpreendente, o estudo conclui que premiar ou punir não faz muita diferença com relação à conscientização do ser humano em relação às suas responsabilidades, confirmando que o descuido dos funcionários com a segurança ainda é a ameaça principal à Segurança da Informação. Concluímos, portanto que, independentemente da rigidez imposta pelas normas de segurança em vigor, ações descuidadas de usuários, em especial as que potencialmente podem transformar-se em incidentes de segurança, seriam a principal causa de acidentes e perdas em TI.

17 7 2.4 A governança de TI e o COBIT A aplicação do conceito de governança em um ambiente de TI sugere a prévia criação de um modelo de governança especialmente dedicado a TI, ou seja, um framework capaz de especificar práticas em TI que visem atender os aspectos essenciais da governança, em especial a transparência e a responsabilização dos atos (accountability). Em 1999, o setor de administração pública cadanense publicou, em seu periódico online, um artigo tratando da necessidade da aplicação de uma estratégia de governança mais efetiva em Administração da Informação e Tecnologia da Informação no setor público canadense (BRIAN, 1999), a partir de uma estrutura básica com somente três elementos: os Princípios da Governança, a Estrutura da Governança e o Processo de Governança. Em 2002, Weill e Woodham (WEILL, 2002) propõem um modelo de governança de TI baseado nos arquétipos de governança (monarquia de negócios, monarquia de TI, feudal, federal e anarquia). Este modelo evoluiu, posteriormente, para um framework completo, baseado em conceitos mais complexos como Domínios (decisões a tomar), Estilos (quem tem o poder de decisão) e Mecanismos (como realizar o que foi decidido) conforme mostra (CLARK, 2005). O COBIT (Control Objectives for Information and Related Technologies), apresentado em 1996 pela International Systems Audit and Control Association (ISACA), entidade americana dedicada a fornecer guias e serviços para o uso efetivo da Tecnologia da Informação em empresas, está na sua versão 5 e pode ser considerado, atualmente, o framework mais popular para governança de TI. Baseado na premissa principal de que é necessário alinhar TI aos objetivos do negócio, o COBIT se propõe a apresentar boas práticas dentro de um modelo que representa o mundo das operações de TI como conjuntos bem definidos dentro de conceitos como domínios e processos. Um dos aspectos principais do COBIT é a capacidade de medir e controlar, ou seja, de tratar as tarefas de TI como processos que podem ser analisados, avaliados e redimensionados para atender um ideal de funcionamento. Outra característica interessante do COBIT é o conceito de Modelo de Maturidade, através do qual é possível determinar-se o grau de maturidade dos processos analisados e, consequentemente, o grau de maturidade na governança de TI. Segundo (RIDLEY, 2004), o motivo para o COBIT ser tão popular e tão difundido é tão simplesmente o fato de seus principais manuais de procedimentos e orientação serem gratuitos. Outras pesquisas realizadas durante a confecção deste trabalho mostraram, no entanto, que grande parte das empresas que adotaram o COBIT como framework de GTI, assim como consultores e auditores de TI, escolheram este modelo por considerarem-no como uma referência para a

18 8 mitigação dos riscos de TI e também para a redução dos problemas de segurança em TI (ROMAN, 2012). 2.5 Segurança da Informação e a Governança da Segurança da Informação O conceito acadêmico de Segurança da Informação (SI) remete aos 3 pilares do conceito de Segurança, citados no item 2.1: segundo (LAUREANO, 2005), a Segurança da Informação deve ser entendida como toda ação decorrente dos atos de proteção contra a negação de serviço a usuários autorizados, e contra a intrusão e a modificação não-autorizada de dados, durante seu armazenamento, processamento ou transmissão. Estas ações devem abranger não só a informação como também tudo que se relaciona a ela como, por exemplo, sua documentação, seus mecanismos de armazenamento, as estruturas físicas onde ela se encontra (instalações), como também os recursos humanos envolvidos na sua manipulação. Em níveis organizacionais, a Segurança da Informação deve ser implementada através de um programa específico para este fim cobrindo, com igual importância tanto os aspectos técnicos quanto os aspectos operacionais. Em linhas gerais, um processo de Segurança da Informação é composto por um conjunto de práticas e regras cujo caráter é essencialmente preventivo, com o objetivo maior de evitar e detectar eventuais brechas na segurança. Também pode ser considerado de caráter corretivo ao incluir práticas de rápida e eficiente restauração do ambiente seguro após algum tipo de incidente de segurança. Segundo (CARLSON, 2001), o processo para implementação de uma bem sucedida gerência de segurança da informação deve seguir um esquema simples, de 8 passos, que se inicia com o apoio dado pelas gerências de instâncias superiores, e termina com implementação de um processo de revisão contínuo da infraestrutura da segurança da informação, sob forma de auditoria. Este esquema de 8 passos está ilustrado na Figura 1 a seguir. Figura 1 Processo de Implementação da SI - ISO (CARLSON, 2001)

19 9 Sob o ponto de vista prático, um programa de SI deve conter, por exemplo, uma definição clara das regras de segurança (security policies), um conjunto completo de procedimentos periódicos para análise e controle de riscos e monitoramento de equipamentos críticos, programas de manutenção periódica de equipamentos, monitoramento de pessoas e suas ações, programas de treinamento e conscientização de pessoas, esquemas práticos de acionamento dos planos de redundância para dispositivos críticos e a implementação de controles físicos de acesso a instalações e equipamentos, entre outros 1. Somente após a implementação destas ações e procedimentos, destacando-se inclusive a atribuição de responsabilidades (accountability), é que teremos o campo fértil para a aplicação da Governança da Segurança da Informação. Na sua segunda edição, o guia Information Security Governance: Guidance for Boards of Directors and Executive Management (2006), o IT Governance Institute (ITGI) estabelece que dados, quando organizados e manipulados da maneira correta geram informação, ou seja, ganham significado, importância e utilidade. A informação, por sua vez, é a base para a geração do conhecimento e é sob este aspecto que os dados passam a ser considerados como ativos da organização. Seguindo esta linha de raciocínio, o tratamento e a proteção deste ativo seria o principal objetivo da Governança da Segurança da Informação (GSI). Ainda segundo o ITGI, a GSI é uma obrigação que começa no topo da cadeia hierárquica, a partir das diretorias e das gerências executivas, não sendo tão somente uma questão de ordem técnica, de responsabilidade dos engenheiros de segurança em TI. Nos níveis mais altos de gerência corporativa, a GSI deve tratar do entendimento e das expectativas que o programa de governança em segurança de TI deve prover, dentre as quais destacamos aspectos como a garantia de proteção contra possíveis ações civis ou legais decorrentes do mau uso da informação, a garantia de que decisões importantes não sejam tomadas com base em informações imprecisas e a garantia de que as informações utilizadas em momentos críticos do negócio, como processos corporativos de aquisição e fusão, sejam corretas e confiáveis. O ITGI também indica, como uma vantagem da adoção de um programa de GSI, a agregação de valor que a GSI dá ao negócio: a GSI traz, como benefícios, o aumento da confiança entre clientes e organização, a proteção da reputação da organização e a redução de custos operacionais ao mitigar os fatores de risco. É importante notar que o conceito de GSI não inclui os procedimentos próprios para a Segurança de TI, nem para a Segurança da Informação, pois a idéia de se adotar uma GSI é 1 Os padrões mais comumente utilizados para a implementação da SI podem ser encontrados no COBIT e na norma ISO

20 10 a de se implementar a governança em si, e não uma estratégia de segurança. O programa de governança teria então, como base, a estratégia de segurança já implementada, de forma alinhada ao negócio, constituída por conjuntos de padrões corporativos, padrões estes compostos por processos e procedimentos, com objetivos e responsabilidades bem definidos. 3. IMPLEMENTANDO A GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO COM O COBIT 3.1 A Segurança da Informação segundo o ITGI Segundo o ITGI, a Segurança da Informação é um dos importantes aspectos que devem ser tratados pela Governança da Tecnologia da Informação. Este aspecto depende, em sua essência, do entendimento que todos os usuários de computadores devem ter da necessidade de se precaver contra os riscos intrínsecos ao uso de tecnologias disponíveis para a manipulação da informação. Devemos atentar, em especial, para os riscos decorrentes do uso de tecnologias emergentes, cujas falhas, ainda desconhecidas pelos usuários, são amplamente exploradas por agentes maliciosos. Apesar de o ITGI sugerir que a quantidade de esforço dispendido na implementação de um ambiente seguro deva ser proporcional ao tamanho do impacto que um problema proveniente de um evento de risco não previsto possa causar, devemos lembrar que a precaução, por vezes, não requer muito esforço ou grandes investimentos financeiros. Em especial, um processo de conscientização e educação já é suficiente para o entendimento da necessidade de se seguirem as regras de segurança. No entanto, os dispositivos tecnológicos de proteção existentes no mercado atualmente, provadamente eficientes, mesmo que imponham um alto grau de complexidade para sua implementação, não devem ser descartados. A sinergia obtida por estas duas abordagens, acrescentada de uma atenção contínua e renovada, seria a fórmula sugerida pelo ITGI para diminuir riscos ou os impactos causados por brechas na segurança. Segurança garantida implica boa reputação organizacional, confiança dos parceiros de negócio e menos tempo perdido nas ações de recuperação moral e física decorrentes de um incidente de segurança. 3.2 O COBIT Security Baseline Com o intuito de orientar usuários de computadores, desde o usuário doméstico comum, passando pelo usuário corporativo técnico, até usuários corporativos de níveis hierárquicos mais altos, quanto à segurança da informação, o ITGI publicou um guia de

INTRODUÇÃO. Copyright 2015 Todos os direitos reservados. Capacitação e Certificação COBIT 4.1 Foundation

INTRODUÇÃO. Copyright 2015 Todos os direitos reservados. Capacitação e Certificação COBIT 4.1 Foundation Apresentação Inicial BEM-VINDO!!! Por favor, descreva o seu atual conhecimento sobre Governança de TI 1 INTRODUÇÃO 2 Introdução do Curso Bem vindo ao Controle de Objetivos de informação e Tecnologia (COBIT)

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós!

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós! Prezado Colaborador, O conteúdo desta cartilha tem como objetivo compartilhar alguns conceitos relacionados ao tema Segurança da Informação. Além de dicas de como tratar os recursos e as informações corporativas

Leia mais

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com MBA em Gestão de Tecnologia da Informação Governança de TI Lincoln Herbert Teixeira lincolnherbert@gmail.com Governança de TI Ementa: Relacionar a governança de TI com a governança corporativa. Boas práticas

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO:

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO: SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicações da Universidade Federal

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI Profa. Gislaine Stachissini Unidade III GOVERNANÇA DE TI Information Technology Infrastructure Library ITIL Criado pelo governo do Reino Unido, tem como objetivo a criação de um guia com as melhores práticas

Leia mais

Leia com cuidado e procure respeitá-la!

Leia com cuidado e procure respeitá-la! Páginas: 1 de 5 Leia com cuidado e procure respeitá-la! Introdução: A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação,

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

I. PROGRAMA GLOBAL DE COMPLIANCE

I. PROGRAMA GLOBAL DE COMPLIANCE POLÍTICA DE COMPLIANCE Revisado em Março de 2013 I. PROGRAMA GLOBAL DE COMPLIANCE A The Warranty Group, Inc. (corporação) e suas empresas subsidiárias têm o compromisso de realizar seus negócios de modo

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

N REQUISITOS OBSERVAÇÕES

N REQUISITOS OBSERVAÇÕES N REQUISITOS OBSERVAÇÕES 01 02 03 04 05 06 07 A - MANUTENÇÃO E SUPORTE A empresa fornece produto de software com Verificar se a empresa fornece manual do produto (instalação), documentação de suporte ao

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA A FIESP esclarece que as informações apresentadas na presente Cartilha são apenas sugestões para auxiliar as

Leia mais

FRANKLIN ELECTRIC CO., INC. POLÍTICA DE PRIVACIDADE. Setembro de 2010

FRANKLIN ELECTRIC CO., INC. POLÍTICA DE PRIVACIDADE. Setembro de 2010 FRANKLIN ELECTRIC CO., INC. POLÍTICA DE PRIVACIDADE A. Propósito Setembro de 2010 A Franklin Electric Co., Inc. e suas subsidiárias e afiliadas (em conjunto, a Empresa ) têm o compromisso de proteger a

Leia mais

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com COBIT Um kit de ferramentas para a excelência na gestão de TI Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com Introdução Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas

Leia mais

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos Prof. Carlos Faria (adaptação) 2011 DESAFIOS ÉTICOS E DE SEGURANÇA Emprego Privacidade Saúde Segurança Ética e Sociedade Crime Individualidade Condições

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Política de segurança de rede: White Paper de práticas recomendadas

Política de segurança de rede: White Paper de práticas recomendadas Política de segurança de : White Paper de práticas recomendadas Índice Introdução Preparação Criar declarações de política de uso Realizar uma análise de risco Estabelecer uma Estrutura de Equipe de Segurança

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

Utilizando o CobiT e o Balanced Scorecard como instrumentos para o. Gerenciamento de Níveis de Serviço

Utilizando o CobiT e o Balanced Scorecard como instrumentos para o. Gerenciamento de Níveis de Serviço Utilizando o CobiT e o Balanced Scorecard como instrumentos para o Gerenciamento de Níveis de Serviço Win Van Grembergen, http://www/isaca.org Tradução de Fátima Pires (fatima@ccuec.unicamp.br) Na economia

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

EMBRATEL- Business Security. Provedor de Serviços Gerenciados de Segurança (MSSP*) *Managed Security Services Provider

EMBRATEL- Business Security. Provedor de Serviços Gerenciados de Segurança (MSSP*) *Managed Security Services Provider EMBRATEL- Business Security Provedor de Serviços Gerenciados de Segurança (MSSP*) *Managed Security Services Provider Daniela Ceschini Especialista em Segurança da Informação 1 AGENDA Panorama e desafios

Leia mais

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração.

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração. Cobit e ITIL GOVERNANÇA, GP - RISCO, GP PROJETOS - PMP, SEGURANÇA DAIANA BUENO OUTUBRO 20, 2010 AT 8:00 3.496 visualizações Atualmente, as empresas estão com seus processos internos cada vez mais dependentes

Leia mais

Imagem Gustavo Santos. Observe Bombinhas SC.

Imagem Gustavo Santos. Observe Bombinhas SC. Imagem Gustavo Santos. Observe Bombinhas SC. 1 2 1. Uma nova modalidade de prestação de serviços computacionais está em uso desde que a computação em nuvem começou a ser idealizada. As empresas norte-

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

FRAMEWORK DE SEGURANÇA DA INFORMAÇÃO PARA ADMINISTRAÇÃO PÚBLICA: Da Implementação à Conformidade. Marcelo Veloso

FRAMEWORK DE SEGURANÇA DA INFORMAÇÃO PARA ADMINISTRAÇÃO PÚBLICA: Da Implementação à Conformidade. Marcelo Veloso FRAMEWORK DE SEGURANÇA DA INFORMAÇÃO PARA ADMINISTRAÇÃO PÚBLICA: Da Implementação à Conformidade Marcelo Veloso O Desafio Fonte: UOL, 2013 2 Fórum Nacional Segurança da Informação Brasília/DF 2 O Desafio

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES RESPONSABILIDADE DE TODOS PRESIDENTE DA REPÚBLICA Dilma Rouseff MINISTRO DE ESTADO DO TRABALHO E EMPREGO Carlos Roberto Lupi SECRETÁRIO EXECUTIVO Paulo Roberto dos

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

Governança de TI. 1. Contexto da TI 2. Desafios da TI / CIOs 3. A evolução do CobiT 4. Estrutura do CobiT 5. Governança de TI utilizando o CobiT

Governança de TI. 1. Contexto da TI 2. Desafios da TI / CIOs 3. A evolução do CobiT 4. Estrutura do CobiT 5. Governança de TI utilizando o CobiT Governança de TI Governança de TI 1. Contexto da TI 2. Desafios da TI / CIOs 3. A evolução do CobiT 4. Estrutura do CobiT 5. Governança de TI utilizando o CobiT TI precisa de Governança? 3 Dia-a-dia da

Leia mais

Governança de TIC. CobiT 4.1

Governança de TIC. CobiT 4.1 Governança de TIC CobiT 4.1 Conceitos Governança: A expressão governar tem origem na expressão navegar... E o que quem navega faz? Ele faz um mapa, dá a direção, faz as regras de convivência. Tomáz de

Leia mais

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 Conhecimento em Tecnologia da Informação Alinhamento Estratégico A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 2010 Bridge Consulting Apresentação

Leia mais

CÓDIGO DE ÉTICA e CONDUTA GRUPO

CÓDIGO DE ÉTICA e CONDUTA GRUPO CÓDIGO DE ÉTICA e CONDUTA GRUPO invepar índice Apresentação Visão, Missão, Valores Objetivos Princípios Básicos Pág. 4 Pág. 6 Pág. 7 Pág. 8 Abrangência / Funcionários Empresas do Grupo Sociedade / Comunidade

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto José Geraldo Loureiro Rodrigues Orientador: João Souza Neto Análise dos três níveis: Governança Corporativa Governança de TI Gerenciamento da Área de TI ORGANIZAÇÃO Governança Corporativa Governança

Leia mais

ivirtua Solutions 4 ITIL

ivirtua Solutions 4 ITIL ivirtua Solutions 4 ITIL ivirtua Solutions ITIL WHITEPAPER ITIL INTRODUÇÃO O ITIL é o modelo de referência para endereçar estruturas de processos e procedimentos à gestão de TI, organizado em disciplinas

Leia mais

Sistemas de Informações Gerenciais

Sistemas de Informações Gerenciais Sistemas de Informações Gerenciais Unidade Didática : A Segurança e os Desafios Éticos da Tecnologia da Informação Segurança e Desafios Éticos de e-business Objetivos do Capítulo Identificar diversos problemas

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

BEM-VINDO. Apresentação Inicial. Por favor, descreva o seu atual conhecimento sobre Governança de TI.

BEM-VINDO. Apresentação Inicial. Por favor, descreva o seu atual conhecimento sobre Governança de TI. Apresentação Inicial BEM-VINDO Por favor, descreva o seu atual conhecimento sobre Governança de TI. 1 COBIT 4.1 FOUNDATION Vamos dar inicio 2 Avaliando o seu Conhecimento Simulado Agora!!! 3 INTRODUÇÃO

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

como posso obter gerenciamento de identidades e acesso como um serviço na nuvem?

como posso obter gerenciamento de identidades e acesso como um serviço na nuvem? RESUMO DA SOLUÇÃO CA CloudMinder como posso obter gerenciamento de identidades e acesso como um serviço na nuvem? agility made possible O CA CloudMinder fornece recursos de gerenciamento de identidades

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

AVALIAÇÃO DO SISTEMA DE GESTÃO DO FORNECEDOR

AVALIAÇÃO DO SISTEMA DE GESTÃO DO FORNECEDOR Prezado Fornecedor, A Innova S/A, empresa certificada nas normas ISO 9001:2000, ISO 14001:1996, OHSAS 18001, avalia seus fornecedores no atendimento de requisitos relativos a Qualidade, Meio Ambiente,

Leia mais

REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA EMPRESA XX. Empresa XX LTDA

REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA EMPRESA XX. Empresa XX LTDA 1 REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA EMPRESA XX Empresa XX LTDA A EMPRESA XX LTDA, através de seu Comitê de Tecnologia da Informação, órgão responsável pela normatização e padronização

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo )

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) A Política de segurança da informação, na A EMPRESA, aplica-se a todos os funcionários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DATA: 25/01/2016 VERSÃO 2.0 VERSÃO 2 25/01/2016 ÁLVARO BARBOSA SUMÁRIO I. INTRODUÇÃO... 3 II. PAPÉIS E RESPONSABILIDADES... 4 II.1 - COMITÊ EXECUTIVO... 4 II.2 - CONTROLES

Leia mais

EXIN IT Service Management Foundation based on ISO/IEC 20000

EXIN IT Service Management Foundation based on ISO/IEC 20000 Exame simulado EXIN IT Service Management Foundation based on ISO/IEC 20000 Edição Novembro 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Computação em Nuvem: Riscos e Vulnerabilidades

Computação em Nuvem: Riscos e Vulnerabilidades Computação em Nuvem: Riscos e Vulnerabilidades Bruno Sanchez Lombardero Faculdade Impacta de Tecnologia São Paulo Brasil bruno.lombardero@gmail.com Resumo: Computação em nuvem é um assunto que vem surgindo

Leia mais

Plano de Recuperação de Desastre em TI

Plano de Recuperação de Desastre em TI Plano de Recuperação de Desastre em TI Edgar T. Monteiro The LatAm Healthcare IT Summit - 2014 >> AGENDA Blue Solutions na Saúde Ameaças para a TI em HeathCare Disaster Recovery >> Blue Solutions 10 anos

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

INSTRUÇÃO NORMATIVA Nº 81, DE 26 DE MARÇO DE 2009

INSTRUÇÃO NORMATIVA Nº 81, DE 26 DE MARÇO DE 2009 Publicada no Boletim de Serviço Nº 4, em 7/4/2009. INSTRUÇÃO NORMATIVA Nº 81, DE 26 DE MARÇO DE 2009 Disciplina o uso dos recursos de tecnologia da informação do Supremo Tribunal Federal e dá outras providências.

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 12/06/2014 13:58:56 Endereço IP: 200.252.42.196 1. Liderança da alta administração 1.1. Com

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio?

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? A Tecnologia da Informação vem evoluindo constantemente, e as empresas seja qual for seu porte estão cada

Leia mais

Requisitos de proteção de dados do fornecedor Critérios de avaliação

Requisitos de proteção de dados do fornecedor Critérios de avaliação Requisitos de proteção de dados do fornecedor Critérios de avaliação Aplicabilidade Os requisitos de proteção de dados do fornecedor da (DPR) são aplicáveis a todos os fornecedores da que coletam, usam,

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição Novembro, 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente,

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente, PORTARIA Nº 7876 Dispõe sobre a Norma PSI/N.0001 - Utilização da Estação de Trabalho, nos termos dos arts. 20 e 24, da Resolução nº 041/2010-SPDE. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que

Leia mais

Políticas de Segurança da Informação e Utilização de Recursos da Rede

Políticas de Segurança da Informação e Utilização de Recursos da Rede Políticas de Segurança da Informação e Utilização de Recursos da Rede Índice 1 Introdução... 3 2 Política de cadastro e senhas... 5 3 Política de Utilização da Internet... 7 4 Política de Utilização de

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais