INFORMATION SECURITY FRAMEWORK FOR BRAZILIAN SMALL BUSINESS

Tamanho: px
Começar a partir da página:

Download "INFORMATION SECURITY FRAMEWORK FOR BRAZILIAN SMALL BUSINESS"

Transcrição

1 DOI: / CONTECSI/PS-2326 INFORMATION SECURITY FRAMEWORK FOR BRAZILIAN SMALL BUSINESS Reinaldo Borges de Freitas Universidade Federal de Goiás Goiás Brasil Isabela Machado Papalardo de Moraes Universidade Federal de Goiás Goiás Brasil Felipe Pagliuco Miranda Universidade Federal de Goiás Goiás Brasil Adriano C. Santana Universidade Federal de Goiás Goiás Brasil Collaborator Terezinha de Jesus Rodrigues de Sousa Universidade Federal de Goiás Goiás Brasil Small businesses have a great importance for the economy of Brazil and the success of these companies increasingly depends on the proper management of information. But as small Brazilian companies could properly handle the security of your information due to their financial constraints? We believe that a security framework can be adapted to allow the implementation in these companies. This article aims to offer the customization of a framework that meets the essential objectives of information security in organizations and indicate essential factors to assess the feasibility of its implementation in small businesses. We selected parts of a security framework that references to standards and best practices widely accepted in the market and address the main concerns with information security in small businesses according to market research on the subject. The parties selected and best practices associated with them allowed us to create the customization of a security framework. We conclude that the Small Business Profile of NIST Cybersecurity Framework, the framework proposed in this paper, has a great installation feasibility and serves as a portfolio for information technology service providers for this segment. Keywords: Information Security, Security Framework, Small Business, Viability, Governance. FRAMEWORK DE SEGURANÇA DA INFORMAÇÃO PARA PEQUENAS EMPRESAS BRASILEIRAS As pequenas empresas têm uma grande importância para a economia do Brasil e o sucesso das mesmas depende cada vez mais da adequada gestão de informações. Mas como as pequenas empresas brasileiras poderiam tratar adequadamente a segurança de suas informações dada sua restrição financeira? Acredita-se que um framework de segurança possa ser adaptado para permitir a implantação por essas empresas. Este artigo tem por objetivo propor a customização de um framework que atenda aos objetivos essenciais de segurança da informação nas organizações e indicar fatores essenciais para avaliação da viabilidade de sua implantação em pequenas empresas. Foram selecionadas partes de um 1449

2 framework de segurança que faz referência a padrões e melhores práticas amplamente aceitas no mercado e que endereçam as principais preocupações com segurança da informação nas pequenas empresas segundo pesquisas de mercado sobre o assunto. As partes selecionadas e as melhores práticas a elas associadas permitiram a criação da customização de um framework de segurança. Concluiu-se que o Perfil para Pequenas Empresas do NIST Cybersecurity Framework, o framework proposto neste artigo, apresenta grande viabilidade de implantação e serve como sugestão de portfólio para prestadores de serviços de tecnologia da informação para este segmento. Palavras-chave: Segurança da Informação, Framework de Segurança, Empresa de Pequeno Porte, Viabilidade, Governança. 1 INTRODUÇÃO A informação é estratégica para as organizações e deve ser tratada adequadamente. A segurança da informação é uma área que ganhou rapidamente notoriedade após as denúncias de espionagem praticada por agências de segurança norteamericanas e europeias. Profissionais da área acompanham notícias cada vez mais frequentes de exposição de dados sigilosos como dados de cartão de crédito e dados de acesso aos mais variados sistemas. As grandes organizações responsáveis por essas exposições normalmente anunciam medidas para evitar novos incidentes, e essas medidas requerem investimentos financeiros expressivos. Mas pouco se noticia a respeito desses problemas nas pequenas empresas. Como as pequenas empresas garantem a segurança de suas informações? Como identificam e reagem a incidentes? Como priorizam os investimentos em segurança? Dada a importante contribuição das pequenas empresas à situação econômico-financeira do país considera-se relevante investigar boas práticas para a segurança de suas informações como estratégia para o sucesso. Este artigo tem por objetivo propor a customização de um framework que atenda aos objetivos essenciais de segurança da informação nas organizações e indicar fatores críticos para avaliação da viabilidade de sua implantação em pequenas empresas. Serão avaliados quais os objetivos essenciais de segurança da informação, levantados os principais riscos e ameaças às pequenas empresas, além de selecionar e customizar um framework de segurança e por fim indicar fatores para avaliação da capacidade de investimento em segurança por pequenas empresas. Acredita-se que o Cybersecurity Framework (CSF) do NIST (National Institute of Standards and Technology) publicado em fevereiro de 2014 seja uma opção viável e tal hipótese será investigada. No início de 2012, as pequenas e médias empresas brasileiras eram responsáveis por 60% dos empregos formais no país e representavam 20% do PIB (MAPA..., 2012). Em 2013 uma pesquisa realizada pelo Sebrae (Agência de Apoio ao Empreendedor e Pequeno Empresário) em parceria com IBQP (Instituto Brasileiro de Qualidade e Produtividade) indicou que 52% dos empregos formais estavam nas micro e pequenas empresas, o que representava 40% da massa salarial (MICRO..., 2013). A informação como recurso estratégico da organização retoma a discussão do papel dos gestores na organização que devem ser info-gestores, termo utilizado para pessoas que possuem, compartilham ou vendem informações, de forma 1450

3 empresarial ou pessoal. (REZENDE, 2010: 12). A informação é estratégica para o sucesso das pequenas empresas e os gestores precisam se preocupar em como ela é tratada, guardada e manuseada, assim como se preocupam com os demais ativos da organização. São cada dia mais frequentes casos de exposição de informação de alto valor, perda de propriedade intelectual, dados de projetos estratégicos parando em mãos de concorrentes, etc. Incidentes facilitados por falta de controles adequados por parte das companhias ou por falhas de sistemas. Em pesquisa recente por grande fabricante do setor, as companhias perguntadas sobre a efetividade de seus controles para proteção de informações, 70% apontam que as políticas de segurança de suas corporações não são suficientes para proteção. (André Fávero apud SOMENZI, 2013). O número de incidentes envolvendo sistemas de informações das organizações é uma preocupação crescente entre os gestores, e por isso o tema segurança da informação está chamando a atenção em diversos setores. Em 2013 a TI continua lutando para manter a disponibilidade. Disponibilidade de informações e recursos tecnológicos para o bom andamento dos trabalhos da empresa. Um dos focos é incluir esta disponibilidade em equipamentos móveis provendo comunicação e níveis de segurança adequados. Outro foco importante é na automação. Precisamos gerar competitividade e diminuir o impacto causado pela escassez da mão de obra. (Daniel Misturini apud SOMENZI, 2013). Investimentos são necessários e é essencial uma correta análise em cada projeto, especialmente para as pequenas empresas que apresentam restrições de recursos para investimentos em tecnologia da informação (ECONOMIA..., 2013). Para a efetiva gestão da tecnologia da informação é fundamental a análise de viabilidade (custos, benefícios mensuráveis e não mensuráveis, riscos e respectivos resultados), contemplando, ainda, as óticas da realidade econômica, financeira e político-social da organização com o estado da arte e o sucateamento das tecnologias disponíveis no mercado. (REZENDE, 2010: 60). Também para Cohen (2011) os investimentos em tecnologia da informação devem ter por objetivo possibilitar o crescimento da empresa e permitir a captação de novos clientes e negócios e não somente melhorar a infraestrutura tecnológica. Há um consenso de que é necessário dar atenção e aplicar recursos para garantir a segurança das informações e também avaliar bem a viabilidade e retorno destes investimentos. A incógnita está em como estabelecer o ponto de equilíbrio entre a proteção desejada e o valor do investimento necessário. A seguir, serão abordados assuntos que darão subsídios para encontrar esse ponto de equilíbrio de forma satisfatória. 2 SISTEMAS DE INFORMAÇÃO Todo sistema que manipula dados e gera informação pode ser considerado sistema de informação (REZENDE, 2011: 37), mesmo que não utilize recursos de tecnologia da informação. O foco nesse artigo será para os sistemas que se utilizam de 1451

4 recurso de tecnologia da informação embora os conceitos aqui apresentados possam ser aplicados aos sistemas que não utilizam tais recursos. O sistema é um conjunto de elementos inter-relacionados com um objetivo: produzir relatórios que nortearão a tomada de decisões gerenciais. Neste percurso, pode-se identificar o processo que transforma dados de entrada, agregados aos comandos gerenciais, em saídas. Assim, o feedback do sistema faz com que, no meio da manutenção do ciclo operacional, sejam ativadas novas estratégias empresarias visando à geração de informações qualitativas ou quantitativas para suportar o alcance do sucesso absoluto. (IMONIANA, 2012: 16). Esse conceito apresentado por Imoniana pressupõe ações gerenciais na manipulação de dados para a produção de informações úteis às estratégias da organização. Mesmo ferramentas automatizadas dependem de decisões dos gestores para a geração de informações úteis. São diversos os conceitos de sistema. Destacam-se os seguintes: conjunto de partes que interagem entre si, integrando-se para atingir um objetivo ou resultado; partes interagentes e interdependentes que formam um todo unitário com determinados objetivos e efetuam determinadas funções; em informática, é o conjunto de software, hardware e recursos humanos; componentes da tecnologia da informação e seus recursos integrados; empresa ou organização e seus vários subsistemas. (REZENDE, 2011: 34). Aqui, Rezende amplia o conceito dado por Imoniana e considera toda a empresa como parte do sistema de informação. Os componentes tecnológicos são ferramentas para os sistemas, mas não são o sistema em si. O que normalmente chamamos de sistemas, como sistema de vendas ou sistema de estoque, são na verdade componentes de software, apenas uma parte do sistema de informação. Além dos componentes de software, devemos considerar os componentes de hardware (servidores, estações de trabalho, notebooks, tablets), recursos humanos (usuários dos softwares, desenvolvedores, gestores), recursos de comunicação (redes, links, cabos) e os dados e informações que passam ou não, em algum momento, pelos componentes de software da organização. Portanto, é preciso considerar todos estes componentes ao tratar a segurança dos sistemas de informação das organizações. Uma ferramenta de segurança que proteja um componente de software, por exemplo, pode ser importante para a segurança geral, mas sozinha não será suficiente se essa ferramenta desconsiderar os demais elementos do sistema. Ao abordar, a seguir, conceitos de segurança será possível observar o sistema como um todo, e não somente componentes isolados. 3 SEGURANÇA DA INFORMAÇÃO A segurança da informação trata da guarda e recuperação de dados, controle de acesso, auditoria, logística dos componentes de tecnologia e da segurança organizacional, mobiliária, lógica, física e outras (REZENDE, 2011: 104). Para Ferreira (2008), a segurança pode ser desmembrada em quatro aspectos: segurança computacional: tem por objetivo proteger o ambiente informatizado contra eventos inesperados que possam causar algum prejuízo; 1452

5 segurança lógica: prevenir acesso de pessoas não autorizadas às informações; segurança física: evitar acesso não autorizado, danos e interferências nas instalações físicas da organização; continuidade de negócios: visa reduzir a um nível aceitável, por meio de ações preventivas e de recuperação, o risco de paralisação da organização por desastres ou falhas. Tanenbaum apresenta um conceito mais simples, voltado para a segurança de dados e comunicações: A segurança é um assunto abrangente e inclui inúmeros tipos de problemas. Em sua forma mais simples, a segurança se preocupa em garantir que pessoas mal intencionadas não leiam, ou pior ainda, modifiquem secretamente mensagens enviadas a outros destinatários. Outra preocupação da segurança são as pessoas que tentam ter acesso a serviços remotos que elas não estão autorizadas a usar. Ela também lida com meios para saber se uma mensagem supostamente verdadeira é um trote. A segurança trata de situações em que mensagens legítimas são capturadas e reproduzidas, além de lidar com pessoas que tentam negar o fato de terem enviado determinadas mensagens. (TANENBAUM, 2003: 767). Apesar desse conceito simples, Tanenbaum evidencia cinco fundamentos da segurança da informação: confidencialidade: capacidade de garantir que a mensagem só possa ser lida por pessoas autorizadas; integridade: capacidade de detectar qualquer modificação na mensagem, por menor que seja; identidade: capacidade de determinar a correta identificação de quem deseja acessar algum recurso ou quem enviou uma mensagem; autenticidade: capacidade de verificar se a mensagem foi realmente enviada pelo suposto remetente; não repúdio: capacidade de provar que o remetente identificado enviou a mensagem, de forma que ele não possa negar o envio. Ferreira (2008) acrescenta a estes outros três fundamentos: disponibilidade: capacidade de garantir o acesso à informação sempre que for necessário; auditabilidade: capacidade de verificar quem acessou, quando e o que fez com a informação; legalidade: capacidade de garantir que o uso da informação está de acordo com a legislação, regulamentos, contratos e licenças. Três destes fundamentos são abordados de outra forma a seguir: Quando a maioria das pessoas pensa em segurança, elas pensam em 1453

6 confidencialidade. Confidencialidade significa que os seus dados são mantidos em segredo dos ouvintes não intencionais. [...] O segundo objetivo principal é a integridade da mensagem. A ideia básica aqui é que nós queremos ter certeza de que a mensagem que recebemos é a mesma que o remetente enviou. [...] A terceira propriedade com que estamos preocupados é com a autenticidade da outra ponta. O que queremos dizer com isso é que nós precisamos saber que uma das pontas na comunicação (normalmente o remetente) é quem realmente pretendemos que seja. (RESCORLA, 2008: 3, tradução nossa). Considerando os sistemas informatizados, alguns destes fundamentos são interdependentes. Atestar a autenticidade de uma mensagem só é necessário se primeiro a integridade dela for garantida, já que uma mensagem corrompida não deve ser considerada. E da mesma forma só há garantia de não repúdio para mensagens íntegras e autênticas. Em alguns contextos, identidade, autenticidade e não repúdio são tratados como um único fundamento, a autenticidade, já que os três estão relacionados com a identificação inequívoca do autor da informação ou mensagem. Qualquer tentativa de comprometimento de um dos fundamentos apresentados é tratado como uma ameaça à segurança, e os tipos de ameaças mais comuns serão tatrados a seguir. 3.1 AMEAÇAS Todos os componentes de um sistema de informação podem ser alvos de ataques contra sua segurança: softwares, hardwares, componentes de redes e telecomunicações, recursos humanos e dados. O possível dano ao alvo do ataque é chamado de ameaça, e cada ameaça tem seus possíveis agentes causadores, que tentarão explorar vulnerabilidades no componente alvo do ataque para comprometer sua segurança. Recursos humanos da organização são alvo de ameaças de roubo de identidade, vazamento de dados, indisponibilidade por razões diversas, erro humano, coerção, engenharia social, dentre outras. Os agentes de tais ameaças podem ser pessoas internas ou externas à organização ou acidentes. Do ponto de vista da segurança da informação a proteção para os recursos humanos de uma organização requer programas de conscientização e treinamentos periódicos (ABNT, 2013). A ideia da engenharia social é simples, senão patética: em vez de invadir o computador da sua empresa para obter senhas, é mais fácil entrar em contato com o seu Service Desk, fingir-se de autoridade (interna ou externa) e pedir dados ou informações vitais ao funcionamento de seu ambiente de segurança. (COHEN, 2011: 131). Os componentes de hardware sofrem com ameaças de furto, sabotagem e mau funcionamento. A proteção desses equipamentos requer segurança física para garantir o acesso somente de pessoal autorizado. Também requer instalações adequadas para protegêlos de surtos elétricos e ações do meio ambiente (umidade, calor, poeira), e ainda manutenção preventiva e corretiva para garantir seu bom funcionamento (ABNT, 2013). Componentes de software, de telecomunicações e dados sofrem ameaças comuns e geralmente são tratados em conjunto. Isso porque as ameaças atacam esses três componentes para roubar dados ou adulterá-los tanto em estado estacionário (armazenado em arquivos e banco de dados) ou em trânsito (sistemas de Internet, cliente-servidor, mensagens eletrônicas). Por serem componentes intangíveis, a defesa para esses componentes é complexa e onerosa e inclui proteção contra software malicioso (como os 1454

7 vírus de computador), roubo de dados e arquivos (impedir que sejam copiados sem autorização), acesso não autorizado por pessoas internas ou externas, intercepção e interferência nas telecomunicações (ISACA, 2012:2). Projetistas de protocolos de segurança da Internet normalmente compartilham um modelo de ameaças mais ou menos comum. Em primeiro lugar, é assumido que os sistemas finais em que o protocolo está sendo executado são seguros. Proteger contra ataques quando um dos sistemas das pontas está sob o controle do atacante é extraordinariamente difícil, para não dizer impossível. [...] Além disso, assume-se que o atacante tem controle do canal de comunicação entre duas máquinas quaisquer. (RESCORLA, 2008: 1, tradução nossa). Segurança em telecomunicações tem uma complexidade tão elevada que projetistas de software assumem que o canal de comunicação está sob controle do atacante (o agente da ameaça contra as comunicações), e assim tratam de proteger os dados antes de enviá-los ao canal de comunicação e de verificar os dados recebidos antes de aceitá-los como legítimos. Quando uma mensagem de correio eletrônico é enviada entre dois sites diferentes, geralmente ela transita por dezenas de máquinas até chegar a seu destino. Qualquer uma dessas máquinas pode ler e armazenar a mensagem para usá-la posteriormente. Na prática, não há privacidade, apesar de muita gente achar o contrário. (TANENBAUM, 2003: 849). Além dessas ameaças aos dados em trânsito, há a permanente ameaça de acesso remoto não autorizado às estações de trabalho e servidores da organização. Um atacante pode conseguir acesso explorando vulnerabilidades em equipamentos e softwares mal configurados, com senhas fracas ou que apresentem falhas em seus softwares. Antes do surgimento de aplicações web, os esforços das organizações para proteger-se contra ataques externos foram, em grande parte, focados no perímetro da rede. Defender este perímetro implicou o reforço e correção para os serviços de que precisava expor e bloqueio do acesso a outros serviços. Aplicações Web mudaram tudo isso. [ ] Se existe uma vulnerabilidade em uma aplicação web, um atacante na Internet pública pode ser capaz de comprometer sistemas internos centrais da organização somente submetendo dados criados a partir de seu navegador. (STUTTARD, 2011: 12, tradução nossa). A proteção a esses componentes intangíveis inclui ferramentas de controle de acesso, monitoramento, filtros e protocolos de segurança nas telecomunicações, criptografia de dados, mecanismos de bloqueio de equipamentos, verificação da integridade de dados e sistemas e testes periódicos de toda essa segurança (ISACA, 2012:2). O mapeamento dessas ameaças ao sistema de informações é essencial para a decisão sobre o que proteger, já que não é viável implantar a segurança ideal contra todas as ameaças. Para cada ameaça mapeada a organização precisa decidir entre: aplicar controles e medidas de segurança (investir); transferir o risco às seguradoras ou fornecedores, o que também envolve custos; aceitar os riscos ou evitá-los quando possível, eliminando o serviço ou componente alvo da ameaça (ABNT, 2013). A disciplina que trata especificamente desse mapeamento é chamada de Gestão de Riscos e não será detalhada 1455

8 neste artigo. Uma das funções mais importantes de um modelo de ameaça é conseguir com que a segurança não se torne mais cara do que vale a pena. As medidas de segurança devem ser entregues somente até o ponto onde o custo para a sua execução não exceda o risco esperado. (RESCORLA, 2008: 2, tradução nossa). Por contarem com poucos recursos disponíveis para investir em tecnologia da informação, as pequenas empresas muitas vezes são obrigadas a aceitar os riscos da falta de segurança de informação, colocando a organização toda em perigo, e por isso se faz necessário a busca por soluções viáveis para esse segmento (ECONOMIA..., 2013). As decisões a respeito de como tratar cada ameaça mapeada serão as diretrizes para a definição da política de segurança da organização, que serão tratadas a seguir. 3.2 POLÍTICA DE SEGURANÇA, PLANOS DE CONTINGÊNCIA E DE CONTINUIDADE E AUDITORIA A Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação (FERREIRA, 2008: 36). Esses procedimentos e normas de segurança da informação devem ser definidos em conjunto com a alta administração da organização como uma consequência da gestão de riscos, e fazem parte do sistema de controle interno da organização (IMONIANA, 2012). Os principais objetivos de um sistema geral de controle interno são: salvaguardar o ativo de uma organização, manter a integridade, correção e confiabilidade dos registros contábeis, promover a eficiência operacional e encorajar o cumprimento dos procedimentos e políticas da gerência. Esses objetivos não apresentam diferenças nos procedimentos de controles internos em ambientes de tecnologia de informações. (IMONIANA, 2012: 41). A política de segurança deve fornecer uma abordagem de gerenciamento consistente para permitir que os requisitos sejam cumpridos, abrangendo os processos de gestão da informação, estruturas organizacionais, papéis e responsabilidades, atividades confiáveis e repetíveis, e as habilidades e competências das pessoas envolvidas. Todos na organização devem estar cientes da política e saber como implementá-la (ISACA, 2013). Todo o esforço evidenciado na política de segurança tem por objetivo evitar que as ameaças se concretizem, prejudicando as operações da organização. No entanto, a organização também precisa estar preparada para os momentos em que não conseguir evitar que um incidente aconteça. Para esses casos, ela precisa de um plano de contingência que ofereça alternativas aos recursos comprometidos para garantir o funcionamento do seu sistema de informações, até que todos os reparos sejam concluídos (REZENDE, 2011). Para as situações em que uma alternativa de funcionamento não seja viável, a organização precisa de um plano de recuperação de desastres com medidas operacionais documentadas que permitam o menor tempo possível de recuperação dos componentes para que o sistema de informações volte a funcionar (IMONIANA, 2012). [Business Continuity Planning] é a habilidade de se assegurar a continuidade de 1456

9 desenvolvimento de produtos ou serviços e apoios aos consumidores de forma ininterrupta e manter a viabilidade corporativa após uma exposição a um desastre. (IMONIANA, 2012: 192). Percebe-se que há uma progressão de maturidade no gerenciamento de riscos. Primeiro a organização identifica as ameaças aos seus sistemas, prioriza os investimentos e define a política de segurança como forma de prevenção a incidentes. Em seguida, deve planejar alternativas de funcionamento para os casos em que não for possível evitar a ocorrência das ameaças. Avançando nesse processo, um plano de recuperação bem documentado assegura retomada mais rápida das operações após paradas de sistemas. E por fim, a organização poderá se preparar para enfrentar até mesmo desastres de maiores impactos, garantindo sua sobrevivência apesar das perdas. A filosofia de auditoria em tecnologia de informação está calcada em confiança e em controles internos. Estes visam confirmar se os controles internos foram implementados e se existem; caso afirmativo, se são efetivos. (IMONIANA, 2012: 17). A política de segurança, o plano de contingência e o plano de continuidade definem diretrizes, procedimentos e atividades para tratar cada ameaça, e cada ameaça tratada implica em um ou mais controles internos. A auditoria de segurança deve aferir a efetividade desses controles e apontar necessidades de correção e oportunidades de melhorias. Dada a complexidade da segurança da informação, é esperado que uma organização só consiga implantar corretamente todos os controles planejados após acumular experiências e aumentar a maturidade de seus processos internos. 4 FRAMEWORKS DE SEGURANÇA E GOVERNANÇA Oxford (2013) traduz framework como armação, estrutura, sistema. No contexto de processos de gestão de segurança e governança de tecnologia da informação, podemos entender frameworks como um conjunto estruturado ou uma biblioteca de práticas, padrões, normas, processos, atividades, objetivos, requisitos, controles e métricas (ISACA, 2012:1). Os padrões ISO (International Organization for Standardization) da família para segurança da informação formam um framework, pois além de normas há códigos de práticas, métricas, guias de implantação e auditoria e guias de gestão. O mesmo ocorre com a família ISO para gestão de serviços de TI (ISO, 2014). O ITIL é definido como uma biblioteca de práticas para gestão dos serviços de tecnologia da informação (TSO, 2007). E o COBIT se define como um framework compreensivo que auxilia organizações a alcançar seus objetivos de gestão e governança das informações corporativas (ISACA, 2012:1). Esses frameworks citados têm muito em comum, tanto que ITIL e COBIT possuem tabelas que apontam a relação mútua entre eles e também com as famílias ISO e ISO O mais abrangente deles é o COBIT por tratar de processos de governança corporativa da informação e não dar foco apenas em tecnologias de informática. Por outro lado, ITIL e as famílias ISO citadas detalham melhor os objetivos de controle de tecnologia, por isso é aconselhável conhecer e aplicar esses frameworks em conjunto. No entanto, o esforço e custo necessários para aplicar todos não é viável na maioria dos casos dado o elevado número de processos e controles a serem implementados, portanto a organização deve selecionar um subconjunto dos frameworks que atendam seus objetivos prioritários e que sejam passíveis de implantação com os recursos disponíveis. Essa implantação deve ser revista periodicamente, se possível com auditorias, para avaliar os resultados e recomendar melhorias. A cada revisão, novos processos e controles podem 1457

10 ser adicionados aos já implantados melhorando os controles de segurança à medida que a maturidade da organização aumenta. 4.1 ISO A versão brasileira mais recente publicada pela ABNT (Associação Brasileira de Normas Técnicas) é a ABNT NBR ISO/IEC 27001:2013. Ela provê requisitos para um sistema de gestão de segurança da informação da organização, mas não fornece um guia de como atender tais requisitos já que esta norma é genérica e pode ser aplicada a todas as organizações, independentemente do tipo, tamanho ou natureza. Se a organização busca certificação de conformidade com a norma deve atender a todos os requisitos (ABNT, 2013). A ABNT também publicou versões brasileiras da ISO 27003, que estabelece diretrizes para projeto e implantação de um sistema de gestão de segurança da informação, e a da ISO 27004, que estabelece diretrizes para desenvolvimento e uso de métricas e medições para a avaliação de um sistema de gestão de segurança da informação. A lista completa de normas ISO está no Anexo COBIT O COBIT 5, versão lançada em 2012, auxilia organizações a manter o equilíbrio entre benefícios, níveis de risco e utilização de recursos. Permite uma gestão para toda a organização e não apenas para tecnologia da informação, considerando todo o negócio. É genérico e útil para organizações de todos os tamanhos, comerciais, sem fins lucrativos ou do setor público (ISACA, 2012:1). Sua estrutura de controles possui padrões aceitos mundialmente como os melhores praticados para o estabelecimento de controles e padrões de segurança para a área de Tecnologia da Informação das empresas dos mais variados segmentos de negócio, principalmente, do setor financeiro. O CobiT, segundo o site da ISACA, foi adotado pelo Federal Reserve (EUA) como fonte de referência para a revisão dos sistemas de informação do sistema bancário norteamericano, demonstrando claramente a sua abrangência. (FERREIRA, 2008: 57). O COBIT passou por uma evolução significativa em seu escopo nos quinze anos desde seu lançamento e talvez por isso seja tão amplamente aceito. Sua primeira versão tinha como foco auditoria da tecnologia da informação. Nas versões seguintes seu escopo incluiu controles, depois gestão da tecnologia e na versão 4 a governança da tecnologia da informação. Já na versão 5 o escopo abrange a governança das informações da organização e das tecnologias relacionadas, direcionando o foco das atenções ao gestor do negócio e não mais ao gestor da tecnologia. Essa evolução pode ser vista na Figura 1. Mesmo com a generalização do escopo, o COBIT 5 continua apresentando processos, práticas de gestão, métricas e atividades de forma detalhada e isso contribui para uma efetiva implantação (ISACA, 2012:2). Figura 1 - Evolução do escopo do COBIT 1458

11 FONTE: ISACA (2012:1) 4.3 NIST CYBERSECURITY FRAMEWORK (NIST CSF) O NIST (National Institute of Standards and Technology) é Instituto Nacional de Padrões e Tecnologia, uma divisão do Departamento de Comércio dos EUA. Por meio de seu Laboratório de Sistemas de Computação (Computer Systems Laboratory), o NIST promove padrões abertos e de interoperabilidade com o objetivo de estimular o desenvolvimento econômico das indústrias baseadas em computação (SCHNEIER, 1996). Em fevereiro de 2014 o NIST publicou a primeira versão de seu Cybersecurity Framework (CSF) em resposta à Ordem Executiva do presidente dos EUA de fevereiro de Essa ordem executiva tratava de aumentar a segurança cibernética e resiliência da infraestrutura crítica do país. O framework foi criado com a colaboração entre o governo norte-americano e o setor privado, tendo como foco a gestão de riscos com custos eficientes e permite que as organizações apliquem princípios e melhores práticas de gestão de riscos para melhorar a segurança e resiliência de sua infraestrutura crítica, independentemente do tamanho da empresa, grau de risco ou sofisticação de seu sistema de segurança (NIST, 2014). O Cybersecurity Framework (CSF) utiliza o processo de gestão de riscos para permitir que as organizações possam informar e priorizar decisões relativas à cibersegurança. É adaptativo para prover uma implementação flexível baseada na gestão de riscos e é composto de três partes: Núcleo do Framework: um conjunto de atividades de segurança, resultados desejados e referências aplicáveis que são comuns a diversos setores críticos. Consiste em cinco funções concorrentes e contínuas, cada uma com categorias e subcategorias que são relacionadas com padrões e práticas de mercado, tais como COBIT e ISO Níveis de Implementação (Tiers): provê contexto em como a organização vê os riscos de segurança e os processos implantados para gerenciá-los. Esses níveis caracterizam a organização entre Parcial (Tier 1) a Adaptativo (Tier 4) e refletem o progresso na implantação dos controles. 1459

12 Perfil: representa as categorias e subcategorias do framework que uma organização selecionou baseada nas suas necessidades de negócio. Pode ser considerado um alinhamento de cenário particular com padrões, guias e práticas do framework. Perfis podem ser usados para mapear oportunidades de melhoria ao criar um perfil atual e um perfil desejado da organização. Também podem ser úteis para a comunicação de padrões de segurança na organização e com outras organizações. As cinco funções do NIST CSF organizam as atividades de segurança em seu nível mais alto. As vinte e duas categorias são subdivisões das funções em grupos de resultados intimamente ligados a necessidades e atividades específicas. E as noventa e oito subcategorias dividem as categorias por resultados de atividades técnicas e/ou gerenciais. São estas as funções definidas pelo framework: Identificar: entender o contexto dos negócios e os recursos que suportam serviços críticos para fazer uma efetiva gestão de riscos a partir das prioridades da organização. Proteger: desenvolver e implementar proteções aos recursos que suportam serviços críticos e limitar os impactos de um evento de segurança. Detectar: implantar atividades para garantir que eventos de segurança sejam detectados. Responder: responder de forma apropriada aos eventos de segurança para conter os impactos. Recuperar: manter planos de contingência e de restauração da capacidade dos recursos afetados por um evento de segurança. 5 CUSTOMIZAÇÃO DO NIST CSF O NIST CSF é extenso para ser implementado todo de uma vez apesar de priorizar apenas atividades essenciais da gestão de segurança da informação. No próprio framework há uma sugestão de passos para uma implantação progressiva por meio da criação de perfis sucessivos, agregando a cada ciclo novas categorias e subcategorias a serem implementadas de acordo com as prioridades identificadas na gestão de riscos. Para esse artigo será criado um perfil mínimo inicial. Serão eleitas atividades a serem implantadas a partir de processos COBIT referenciados pelas subcategorias selecionadas do NIST CSF para esse perfil inicial. Dessa forma, pretende-se propor um framework de segurança que sirva de referência para que pequenas empresas possam iniciar a gestão de segurança da informação e possam incrementar esse perfil em um processo de melhoria contínua. E para criar esse perfil serão analisados quais os riscos de maior impacto para as pequenas empresas e, a partir daí, serão priorizadas as atividades a serem implantadas. 5.1 PRIORIZANDO RISCOS Segundo pesquisa realizada pela Kaspersky Lab (KASPERSKY LAB, 2014), há dois tipos principais de riscos para os quais as corporações buscam proteção: o de interrupção das operações da organização, e o de perda ou vazamento de dados confidenciais. Foram destacadas as cinco maiores preocupações com segurança da informação citadas na pesquisa: Proteção de dados altamente sensíveis (por exemplo, dados de clientes e 1460

13 informações financeiras) contra ataques direcionados; Prevenção de brechas de segurança na tecnologia da informação; Proteção de dados; Garantir a continuidade do serviço para sistemas essenciais aos negócios; Entender a gama de novas tecnologias disponíveis e como utilizá-las. Outra informação importante é o impacto financeiro de incidentes de segurança. Ainda segundo essa pesquisa, nas pequenas empresas o custo médio por incidente foi de US$ 42k (quarenta e dois mil dólares americanos). É um custo pequeno se comparado ao das empresas globais, que foi de US$ 720k, mas ainda assim o prejuízo com um único incidente pode significar a falência para pequenas empresas. A pesquisa classificou as principais ameaças nas pequenas empresas de acordo com o impacto financeiro, do maior para o menor: Ataques direcionados; Espionagem corporativa; Invasão de rede / hacking; Ataques de negação de serviço (Dos/DDoS); Vulnerabilidades em softwares; Vazamento intencional de dados; Fraudes cometidas por empregados; Falhas de terceiros (fornecedores, clientes); Vazamento acidental de dados; Software mal-intencionado (vírus, malware, etc). Tendo em vista essas duas informações (principais preocupações e principais ameaças), será elaborado o perfil para as pequenas empresas. 5.2 NIST CSF PARA PEQUENAS EMPRESAS Dentre as noventa e oito subcategorias do NIST CSF foram selecionadas vinte que julgou-se sendo mais relevantes para o tratamento adequado dos riscos identificados, contemplando todas as funções do framework. Também considerou-se os fundamentos de segurança da informação abordados no capítulo 3 deste artigo. A Tabela 1 apresenta o perfil proposto para aplicação em pequenas empresas. 5.3 ATIVIDADES PARA O PERFIL SELECIONADO No NIST CSF, cada subcategoria selecionada na Tabela 1 faz referência a outros frameworks. Para a proposta deste artigo usou-se apenas as atividades recomendadas no COBIT 5. A partir dessas referências foram selecionadas as atividades de forma a atender o objetivo principal de cada subcategoria para que o conjunto final tenha o menor custo de implantação possível. Selecionou-se trinta atividades do COBIT 5, o que corresponde a 2,7% do total de um mil, cento e doze atividades. Apesar de relativamente pequena, a lista de atividades selecionadas representa um desafio para implantação em pequenas empresas e atende aos objetivos das vinte subcategorias do perfil proposto. 1461

14 As atividades selecionadas estão listadas na Tabela 2 e estão relacionadas às subcategorias do perfil citado no tópico anterior. Algumas atividades atendem aos objetivos de mais de uma subcategoria do NIST CSF. As organizações que vencerem o desafio da implantação podem melhorar este perfil avançando de Tier 1 (Parcial) até Tier 4 (Adaptativo) simplesmente acrescentando novas atividades dos processos COBIT referenciados. Outra opção é ampliar o perfil acrescentando subcategorias do framework e selecionando novas atividades correspondentes. 6 CAPACIDADE DE INVESTIMENTO E VIABILIDADE A implantação de gestão de segurança da informação requer pessoal qualificado, o que geralmente representa um custo elevado para as pequenas empresas. Por essa razão e pela criticidade que representa ao processo de implantação, o principal fator para avaliação da viabilidade é o custo de recrutar e manter bons profissionais. Tabela 1 - NIST CSF - Perfil para Pequenas Empresas # Função Categoria Subcategoria Referência COBIT ID: Identificar ID: Identificar ID: Identificar ID: Identificar ID: Identificar PR: Proteger PR: Proteger PR: Proteger PR: Proteger PR: Proteger PR: Proteger PR: Proteger ID.AM: Gestão de Ativos ID.AM: Gestão de Ativos ID.GV: Governança ID.RA: Análise de Riscos ID.RA: Análise de Riscos PR.AC: Controle de Acesso PR.AT: Conscientização e Treinamento PR.DS: Segurança dos Dados PR.DS: Segurança dos Dados PR.DS: Segurança dos Dados PR.IP: Processos e Procedimentos de Proteção de Informações PR.MA: Manutenção ID.AM-1: Dispositivos físicos e sistemas da organização são inventariados ID.AM-2: Plataformas de software e aplicações da organização são inventariados ID.GV-1: Uma política organizacional de segurança da informação é estabelecida ID.RA-5: Ameaças, vulnerabilidades, probabilidades e impactos são usados para determinar os riscos ID.RA-6: Respostas aos riscos são identificadas e priorizadas PR.AC-1: Identidades e credenciais são gerenciadas para dispositivos e usuários autorizados PR.AT-1: Todos os usuários são informados e treinados PR.DS-1: Dados em repouso são protegidos PR.DS-2: Dados em trânsito são protegidos PR.DS-7: O ambiente de desenvolvimento e testes é separado do ambiente de produção PR.IP-4: Cópias de segurança são realizadas, mantidas e testadas periodicamente PR.MA-1: Manutenção e reparo dos ativos da organização são efetuados e registrados em tempo hábil, com ferramentas controladas e aprovadas BAI09.01, BAI09.02 BAI09.01, BAI09.02, BAI09.05 APO01.03 APO12.02 APO13.02 DSS05.04, DSS06.03 APO07.03, BAI05.07 APO01.06, BAI02.01, BAI06.01, DSS06.06 APO01.06, DSS06.06 BAI07.04 DDS04.07 BAI

15 # Função Categoria Subcategoria Referência COBIT DE: Detectar DE: Detectar DE: Detectar RS: Responder RS: Responder RS: Responder RS: Responder RC: Recuperar DE.AE: Anomalias e Eventos DE.CM: Monitoramento Contínuo de Segurança DE.CM: Monitoramento Contínuo de Segurança RS.AN: Análise DE.AE-4: O impacto dos eventos é determinado DE.CM-4: Código malicioso é detectado DE.CM-8: Varreduras de vulnerabilidades são realizadas RS.AN-2: O impacto do incidente é entendido APO12.06 DSS05.01 DSS05.02 APO12.06 RS.MI: Mitigação RS.MI-1: Incidentes são contidos APO12.06 RS.MI: Mitigação RS.MI-2: Incidentes são mitigados APO12.06, DSS05.01 RS.MI: Mitigação RC.RP: Planejamento de Recuperação RS.MI-3: Vulnerabilidades recém identificadas são mitigadas ou documentadas como risco aceito RC.RP-1: O plano de recuperação é executado durante ou após um evento Fonte: O autor (2014) DSS05.02 DSS02.05, DSS03.04 Tabela 2 - Mapa de atividades - NIST CSF - Perfil para Pequenas Empresas # COBIT Atividade NIST 1 BAI Registrar todos os ativos em um inventário atualizado. Manter o alinhamento com os processos de gerenciamento de mudança e configuração, e os registros contábeis e financeiros. 2 BAI Identificar os ativos que são fundamentais para a organização, fazendo referência a exigências em definições de serviços, SLAs e ao sistema de gerenciamento de configuração. 3 BAI Regularmente avaliar o risco de falha ou necessidade de substituição de cada ativo crítico. 4 BAI Manter um registro de todas as licenças de software adquiridas e acordos de licença associados. 5 APO Criar um conjunto de políticas para direcionar as expectativas de controle de TI sobre os principais tópicos relevantes, tais como qualidade, segurança, confidencialidade, controles internos, uso dos ativos de TI, ética e direitos de propriedade intelectual. 6 APO Avaliar e atualizar as políticas pelo menos anualmente para acomodar as alterações nos ambientes operacionais ou de negócios. 7 APO Construir e atualizar regularmente cenários de risco, incluindo cenários compostos em cascata e/ou tipos de ameaças coincidentes, e desenvolver expectativas para as atividades específicas de controle, as capacidades de detecção e outras medidas de resposta. 8 APO Analisar o custo-benefício das opções de resposta a riscos potenciais, tais como evitar, reduzir/mitigar, transferir/compartilhar, ou aceitar. Propor a resposta ideal ao risco. 9 APO Formular e manter um plano de tratamento de riscos de segurança da informação alinhados com os objetivos estratégicos e da arquitetura corporativa. Certificar-se de que o plano identifica as práticas de gestão de segurança adequadas e ideais, associadas a recursos, responsabilidades e prioridades para a gestão dos riscos de segurança da informação identificados. ID.AM-1, ID.AM-2 ID.AM-1, ID.AM-2 ID.AM-1, ID.AM-2 ID.AM-2 ID.GV-1 ID.GV-1 ID.RA-5 ID.RA-5 ID.RA

16 # COBIT Atividade NIST 10 DSS Manter permissões de acesso dos usuários de acordo com os requisitos da função e dos processos de negócio. Alinhar o gerenciamento de identidades e direitos de acesso às funções e responsabilidades definidas, baseado nos princípios de privilégios mínimos, necessidade de ter e necessidade de saber. 11 DSS Atribuir permissões de acesso e privilégios com base em apenas o que é necessário para executar as atividades de trabalho, com base em papéis de trabalho pré-definidos. Remover ou revisar os direitos de acesso imediatamente se o papel do trabalho muda ou um membro da equipe deixa a área de processo de negócio. Revisar periodicamente para garantir que o acesso é apropriado para as atuais ameaças, riscos, tecnologias e necessidades do negócio. 12 APO Desenvolver e implementar programas de treinamento com base em requisitos organizacionais e de processos, incluindo requisitos para a gestão de conhecimento da empresa, controle interno, ética e segurança. 13 BAI Fornecer orientação, formação, treinamento e transferência de conhecimento para os novos funcionários para sustentar a operação e as mudanças. 14 APO Definir e implementar procedimentos para garantir a integridade e consistência de todas as informações armazenadas em formato eletrônico, tais como bancos de dados e arquivos de dados. 15 DSS Aplicar a classificação de dados e de uso aceitável, as políticas de segurança e procedimentos para proteger os ativos de informação. 16 DSS Restringir o uso, distribuição e acesso físico de informações de acordo com sua classificação. 17 BAI Planejar e avaliar todas as requisições de mudanças de uma forma estruturada. Incluir uma análise do impacto em processos de negócios, infra-estrutura, sistemas e aplicações, planos de continuidade de negócios (PCN) e prestadores de serviços para garantir que todos os componentes afetados foram identificados. Avaliar a probabilidade de prejudicar o ambiente operacional e os riscos de implementação da mudança. Considerar implicações de segurança, legais, contratuais e de conformidade da alteração solicitada. Considerar também as interdependências entre as mudanças. Envolver os proprietários de processos de negócios no processo de avaliação, conforme o caso. 18 BAI Garantir que o ambiente de testes é seguro e incapaz de interagir com os sistemas de produção. 19 DSS Fazer cópia de segurança (backup) dos sistemas, aplicações, dados e documentação de acordo com um cronograma definido, considerando: Frequência (mensal, semanal, diária, etc) Modo do backup (p.e., espelhamento de discos para backup em tempo real vs. DVD para retenção de longo tempo) Tipo de backup (p.e., completo vs. incremental) Tipo de mídia Backups automatizados online Tipos de dados (p.e., voz, ótica) Criação de trilhas de auditoria (logs) Dados computacionais críticos (p.e., planilhas eletrônicas) Localização física e lógica das fontes de dados Segurança e permissões de acesso Criptografia PR.AC-1 PR.AC-1 PR.AT-1 PR.AT-1 PR.DS-1, PR.DS-2 PR.DS-1 PR.DS-1, PR.DS-2 PR.DS-1 PR.DS-7 PR.IP-4 20 DSS Testar periodicamente e atualizar os dados arquivados e de backup. PR.IP-4 21 BAI Incorporar as janelas de manutenção planejadas (tempo de inatividade, downtime) em uma agenda global de produção e programar as atividades de manutenção para minimizar o impacto negativo sobre os processos de negócios. 22 APO Classificar os incidentes e comparar as exposições reais com os limites de tolerância ao risco. Comunicar impactos nos negócios para os tomadores de decisão como parte do relatório, e atualizar o perfil de risco. PR.MA-1 DE.AE-4, RS.AN-2, RS.MI-1, RS.MI

17 # COBIT Atividade NIST 23 APO Aplicar o plano de resposta adequado para minimizar o impacto quando ocorrem incidentes de segurança. 24 APO Examinar incidentes passados/perdas adversas e oportunidades perdidas e determinar as suas causas. Comunicar a causa-raiz, os requisitos para a resposta aos novos riscos e melhorias de processos para os tomadores de decisão adequados e garantir que a causa, requisitos de resposta e melhoria de processos estão incluídos nos processos de gestão de risco. 25 DSS Instalar e ativar ferramentas de proteção contra softwares maliciosos em todos os ativos de processamento, com definição de softwares maliciosos atualizados conforme necessário (de forma automática ou semi-automática). 26 DSS Realizar testes de penetração periódicos para determinar a adequação da proteção de rede. 27 DSS Realizar testes periódicos de segurança dos sistemas para determinar a adequação da proteção de sistema. 28 DSS Selecionar e aplicar as soluções mais apropriadas para os incidentes (solução temporária e/ou solução permanente). DE.AE-4, RS.AN-2, RS.MI-1, RS.MI-2 DE.AE-4, RS.AN-2, RS.MI-1, RS.MI-2 DE.CM-4, RS.MI-2 DE.CM-8, RS.MI-3 DE.CM-8, RS.MI-3 RC.RP-1 29 DSS Realizar ações de recuperação após incidentes, se necessário. RC.RP-1 30 DSS Encerrar registros de problemas após a confirmação da eliminação bemsucedida do erro conhecido, ou após um acordo sobre como lidar com o problema de forma alternativa. Fonte: O autor (2014) RC.RP-1 Nas empresas de pequeno e médio porte a insegurança é geralmente maior em função da falta de pessoal de segurança adequadamente treinado e consequentemente da falta de medidas de segurança implantadas. Recente pesquisa realizada pela McAfee aponta que uma pequena ou média empresa que possua entre 50 e usuários de computador conte com apenas 1,8 profissionais de TI no staff. E que apenas 8% destas empresas possuem um profissional dedicado à Segurança da Informação. E nas 92% restantes, quem trabalha pela Segurança da Informação? (MERCADO, 2013). Ferramentas tecnológicas também são necessárias para o desempenho das atividades selecionadas e podem envolver mais custos. Das trinta atividades selecionadas para o perfil proposto, algumas requerem obrigatoriamente o uso de ferramentas para: controle de acesso (serviço de diretório de usuários ou controladores de domínio, p.e.); integridade e consistência de dados; cópias de segurança; anti-vírus e anti-malware; testes de vulnerabilidades e de penetração em redes. As demais atividades podem contar com ajuda de ferramentas, mas não são dependentes destas para que sejam executadas. Em organizações maiores, com grande número de usuários e/ou de colaboradores, pode ser inviável executar algumas atividades sem o auxílio de ferramentas automatizadas e essa necessidade precisa ser avaliada para otimizar os investimentos. 1465

18 Este processo de cinco etapas funciona para julgar qualquer medida de segurança, no passado, presente ou futuro. Qual problema essa medida resolve? Quão bem resolve o problema? Que novos problemas ela acrescenta? Quais são os custos econômicos e sociais? Diante do exposto, os custos valem a pena? (SCHNEIER, 2002, tradução nossa). Organizações que tenham forte restrição orçamentária podem optar por utilizar ferramentas grátis (freeware) e/ou de código aberto (open source) com o objetivo de economizar na fase inicial com as ferramentas para poder investir mais em pessoal qualificado, e essa escolha é outro fator importante na avaliação da viabilidade de implantação do framework proposto. Outra opção é terceirizar parte das atividades, especialmente as que requerem pessoal mais qualificado ou ferramentas de maior custo, atentando para a necessidade de especificar em contrato os requisitos de qualidade na execução de cada atividade terceirizada. Optando por terceirização, é recomendável acrescentar ao perfil a subcategoria PR.AT-3 (terceiros entendem seus papéis e responsabilidades) e as atividades pertinentes do processo APO10 do COBIT 5 (gerenciar fornecedores). Para organizações que não têm orçamento disponível para incluir um profissional com alguma qualificação em segurança da informação em seu quadro de colaboradores, a falta de fornecedores que possam terceirizar atividades de maior custo pode inviabilizar a implantação do framework. O perfil proposto neste artigo também pode ser útil para que prestadores de serviço de suporte em tecnologia da informação possam incluir em seus portfólios as atividades aqui propostas e, dessa forma, suprir essa necessidade. 7 CONCLUSÃO O Perfil para Pequenas Empresas do NIST CSF (Cybersecurity Framework), proposto neste artigo, apresenta grande viabilidade de implantação e serve como sugestão de portfólio para prestadores de serviços de tecnologia da informação. Os objetivos essenciais de segurança da informação foram revisados e os principais riscos para pequenas empresas levantados a partir de pesquisas de mercado. Foi possível escolher um conjunto relativamente pequeno de controles de segurança para a criação do perfil e, a partir de melhores práticas de mercado, selecionar atividades que atendam a esses controles. Essa seleção de controles e atividades formam o framework de segurança customizado, proposto para implantação em pequenas empresas. Por fim, os fatores críticos para avaliação da viabilidade de implantação desse framework customizado a partir do NIST CSF foram apresentados com o objetivo de auxiliar as organizações a decidirem a respeito dos investimentos em segurança da informação. Não foram encontradas pesquisas de riscos e práticas de segurança da informação específicas para pequenas empresas brasileiras, mas obtêve-se acesso a dados importantes sobre esse segmento em pesquisas globais sobre o assunto. Foi abordada, superficialmente neste artigo, a gestão de riscos e esse assunto merece uma investigação mais aprofundada voltada para o segmento de pequenas empresas. Outro aspecto que merece um estudo mais detalhado são as ferramentas tecnológicas de baixo custo, que possam ser utilizadas na implementação do framework proposto neste estudo e que contribuam para a viabilização de sua implantação. 1466

19 REFERÊNCIAS ABNT, ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Requisitos. Rio de Janeiro, COHEN, Roberto. Gestão de help desk e service desk: ensaios e crônicas ao supervisor de pequenos e médios centros de suporte técnico, help desk e service desk. São Paulo: Novatec, ECONOMIA da informação deve movimentar cerca de R$ 490 bilhões no Brasil neste ano. TI Inside, 12 ago Disponível em <http://convergecom.com.br/tiinside/12/08/2013/ setor-de-economia-da-informacao-movimentara-r-490-bilhoes-no-brasil-neste-ano/>. Acesso em 30 ago FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de Segurança da Informação - Guia Prático para Elaboração e Implementação. 2. ed. revisada. Rio de Janeiro: Ciência Moderna, IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2. ed. 4. reimpr. São Paulo: Atlas, ISACA. COBIT 5 - A Business Framework for the Governance and Management of Enterprise IT. Meadows, ISACA. COBIT 5 - Enabling Processes. Meadows, ISACA. Process Assessment Model (PAM): Using COBIT 5. Meadows, ISO. IT Management Collection. Disponível em <https://www.iso.org/obp/ui/#iso:pub: PUB200013:en>. Acesso em 31 ago KASPERSKY LAB. IT Security Risks Survey 2014: A Business Apprach To Managing Data Security Threats. 6 ago Disponível em <http://media.kaspersky.com/en/ IT_Security_Risks_Survey_2014_Global_report.pdf>. Acesso em 4 out MAPA das micro e pequenas empresas. Portal Brasil, 2 fev Disponível em <http://www.brasil.gov.br/economia-e-emprego/2012/02/o-mapa-das-micro-e-pequenasempresas>. Acesso em 30 ago MERCADO de segurança da informação no Brasil, O. Jornal do Brasil, 19 mar Disponível em <http://www.jb.com.br/sociedade-aberta/noticias/2013/03/19/o-mercadode-seguranca-da-informacao-no-brasil/>. Acesso em 30 ago MICRO e pequenas empresas empregam 52% dos profissionais formais do país. UOL Economia, São Paulo, 22 jan Disponível em <http://economia.uol.com.br/ noticias/infomoney/2013/01/22/micro-e-pequenas-empresas-empregam-52-dosprofissionais-formais-do-pais.htm>. Acesso em 30 ago

20 NIST. Framework for Improving Critical Infrastructure Cybersecurity - Version fev Disponível em <http://www.nist.gov/cyberframework/>. Acesso em 30 ago OXFORD, University of. Oxford Pocket - Dicionário bilíngue para brasileiros. New York: Oxford University Press, RESCORLA, Eric. SSL and TLS: Designing and Building Secure Systems. Boston: Addison-Wesley, REZENDE, Denis Alcides. Sistemas de Informações Organizacionais: guia prático para projetos em cursos de administração, contabilidade e informática. 4. ed. São Paulo: Atlas, REZENDE, Denis Alcides. Planejamento de Sistemas de Informação e Informática: guia prático para planejar a tecnologia da informação integrada ao planejamento estratégico das organizações. 4. ed. São Paulo: Atlas, SCHNEIER, Bruce. Applied Cryptography: Protocols, Algorithms, and Source Code in C. 2. ed. New York: Wiley, SCHNEIER, Bruce. CryptoGram Newsletter. Schneier on Security, 15 abr Disponível em <https://www.schneier.com/crypto-gram-0204.html>. Acesso em 30 ago SOMENZI, Sílvia. Expectativas do Mercado para Baguete, 16 de maio Disponível em <http://www.baguete.com.br/colunistas/colunas/50/silviasomenzi/16/05/2013/ expectativas-do-mercado-para-2013>. Acesso em 30 ago STUTTARD, Dafydd; PINTO, Marcus. The Web Application Hacker s Handbook: Finding and Exploiting Security Flaws. 2. ed. Indianapolis: Wiley, TANENBAUM, Andrew S. Redes de Computadores - tradução Vandenberg D. de Souza. 8. reimpressão. Rio de Janeiro: Elsevier, TSO, THE STATIONERY OFFICE. The Official Introduction to the ITIL Service Lifecycle. United Kingdom,

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 13/06/2014 14:08:02 Endereço IP: 177.1.81.29 1. Liderança da alta administração 1.1. Com

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Crescendo e Inovando com um Parceiro Confiável de Suporte

Crescendo e Inovando com um Parceiro Confiável de Suporte IBM Global Technology Services Manutenção e suporte técnico Crescendo e Inovando com um Parceiro Confiável de Suporte Uma abordagem inovadora em suporte técnico 2 Crescendo e Inovando com um Parceiro Confiável

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 12/06/2014 13:58:56 Endereço IP: 200.252.42.196 1. Liderança da alta administração 1.1. Com

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

ITIL. Information Technology Infrastructure Library

ITIL. Information Technology Infrastructure Library Information Technology Infrastructure Library 34929 - Daniel Aquere de Oliveira 34771 - Daniel Tornieri 34490 - Edson Gonçalves Rodrigues 34831 - Fernando Túlio 34908 - Luiz Gustavo de Mendonça Janjacomo

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 08/08/2014 19:53:40 Endereço IP: 150.164.72.183 1. Liderança da alta administração 1.1. Com

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações CobIT Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações Eduardo Mayer Fagundes Copyright(c)2008 por Eduardo Mayer Fagundes 1 Agenda 1. Princípio de Gestão Empresarial

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA Descrição da(s) atividade(s): Indicar qual software integrado de gestão e/ou ferramenta

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação CobiT 5 Como avaliar a maturidade dos processos de acordo com o novo modelo? 2013 Bridge Consulting All rights reserved Apresentação Sabemos que a Tecnologia da

Leia mais

Gestão de Risco e Planejamento de Continuidade de Negócios

Gestão de Risco e Planejamento de Continuidade de Negócios 1. Introdução A Gestão de risco desempenha um papel crucial na proteção do acervo de informações da organização na era digital tendo em vista que as mesmas dependem cada vez mais de sistemas de tecnologia

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Governança de TI: O que é COBIT?

Governança de TI: O que é COBIT? Governança de TI: O que é COBIT? Agenda Governança de TI Metodologia COBIT Relacionamento do COBIT com os modelos de melhores práticas Governança de TI em 2006 Estudo de Caso Referências Governança de

Leia mais

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02 Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE Revisão 02 As informações contidas neste documento são restritas à ALCE, não podendo ser divulgadas a terceiros

Leia mais

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio?

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? A Tecnologia da Informação vem evoluindo constantemente, e as empresas seja qual for seu porte estão cada

Leia mais

Soluções de Segurança IBM

Soluções de Segurança IBM Soluções de Segurança IBM Security Framework As organizações frequentemente adotam uma abordagem orientada à tecnologia para a segurança. Porém, proteger só a tecnologia não oferece proteção para os processos

Leia mais

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com MBA em Gestão de Tecnologia da Informação Governança de TI Lincoln Herbert Teixeira lincolnherbert@gmail.com Governança de TI Ementa: Relacionar a governança de TI com a governança corporativa. Boas práticas

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS P á g i n a 1 / 13 MINISTÉRIO DA EDUCAÇÃO FUNDAÇÃO UNIVERSIDADE FEDERAL DA GRANDE DOURADOS COORDENADORIA DE DESENVOLVIMENTO DE TECNOLOGIA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BASEADO NA NORMA ABNT 21:204.01-010 A Política de segurança da informação, na FK EQUIPAMENTOS, aplica-se a todos os funcionários, prestadores de serviços, sistemas e

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

Questionário de Governança de TI 2014

Questionário de Governança de TI 2014 Questionário de Governança de TI 2014 De acordo com o Referencial Básico de Governança do Tribunal de Contas da União, a governança no setor público compreende essencialmente os mecanismos de liderança,

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo )

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) A Política de segurança da informação, na A EMPRESA, aplica-se a todos os funcionários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados

Leia mais

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Referência: An Introductory Overview of ITIL v2 Livros ITIL v2 Cenário de TI nas organizações Aumento da dependência da TI para alcance

Leia mais

Agenda. Visão Geral Alinhamento Estratégico de TI Princípios de TI Plano de TI Portfolio de TI Operações de Serviços de TI Desempenho da área de TI

Agenda. Visão Geral Alinhamento Estratégico de TI Princípios de TI Plano de TI Portfolio de TI Operações de Serviços de TI Desempenho da área de TI Governança de TI Agenda Visão Geral Alinhamento Estratégico de TI Princípios de TI Plano de TI Portfolio de TI Operações de Serviços de TI Desempenho da área de TI Modelo de Governança de TI Uso do modelo

Leia mais

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança.

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda Managed Office Protection É fato, tanto pequenas e médias e grandes empresas enfrentam os mesmos riscos

Leia mais

EMC Consulting. Estratégia visionária, resultados práticos. Quando a informação se reúne, seu mundo avança.

EMC Consulting. Estratégia visionária, resultados práticos. Quando a informação se reúne, seu mundo avança. EMC Consulting Estratégia visionária, resultados práticos Quando a informação se reúne, seu mundo avança. Alinhando TI aos objetivos de negócios. As decisões de TI de hoje devem basear-se em critérios

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

Autores: Regina Mainente Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015

Autores: Regina Mainente  Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015 Autores: Regina Mainente Superintendente Ricardo Pereira da Silva Controlador Interno Ano de 2015 Índice 1. Apresentação... 03 2. Introdução... 04 3. Para que serve a Segurança da Informação... 05 4. Pilares

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

Agenda. ABCTec Risco Pesquisas sobre fraudes no Brasil e no Mundo Valores envolvidos e perfil do fraudador Como se proteger

Agenda. ABCTec Risco Pesquisas sobre fraudes no Brasil e no Mundo Valores envolvidos e perfil do fraudador Como se proteger Agenda ABCTec Risco Pesquisas sobre fraudes no Brasil e no Mundo Valores envolvidos e perfil do fraudador Como se proteger Quem é a ABCTec Atuando no mercado de TI desde 1996, a ABCTec está hoje focada

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

Gerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br

Gerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR Gerenciamento de Riscos em Segurança da informação cynaracarvalho@yahoo.com.br

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 06/06/2014 18:22:39 Endereço IP: 189.9.1.20 1. Liderança da alta administração 1.1. Com relação

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

TERMO DE REFERÊNCIA. Contratação de Serviços Técnicos Especializados de Segurança da Informação na ANP

TERMO DE REFERÊNCIA. Contratação de Serviços Técnicos Especializados de Segurança da Informação na ANP TERMO DE REFERÊNCIA Contratação de Serviços Técnicos Especializados de Segurança da Informação na ANP Autor: Roberto Moreira Caldeira Emissão: 28/10/2008 Versão: 1 Escritório de Segurança da Informação

Leia mais

Serviços IBM de Resiliência:

Serviços IBM de Resiliência: Serviços IBM de Resiliência: Sempre disponível, em um mundo sempre conectado Como chegamos até aqui? Dois profissionais de TI estão sofrendo com interrupções de negócios frequentes, os problemas estão

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Usando a nuvem para melhorar a resiliência dos negócios

Usando a nuvem para melhorar a resiliência dos negócios IBM Global Technology Services White Paper IBM Resiliency Services Usando a nuvem para melhorar a resiliência dos negócios Escolha o provedor de serviços gerenciados certo para mitigar riscos à reputação

Leia mais

Serviço de Avaliaça o e Planejamento de Governança de TI

Serviço de Avaliaça o e Planejamento de Governança de TI efagundes.com Serviço de Avaliaça o e Planejamento de Governança de TI O serviço especializado avalia, planeja e implanta um modelo de governança nas organizações de TI alinhado com as estratégias e operações

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

Por que conhecer o COBIT 5

Por que conhecer o COBIT 5 10Minutos Tecnologia da Informação Saiba quais são as novidades da versão 5 do COBIT Por que conhecer o COBIT 5 Destaques A utilização do COBIT 5 como guia de melhores práticas permite alinhar de modo

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais