INFORMATION SECURITY FRAMEWORK FOR BRAZILIAN SMALL BUSINESS

Tamanho: px
Começar a partir da página:

Download "INFORMATION SECURITY FRAMEWORK FOR BRAZILIAN SMALL BUSINESS"

Transcrição

1 DOI: / CONTECSI/PS-2326 INFORMATION SECURITY FRAMEWORK FOR BRAZILIAN SMALL BUSINESS Reinaldo Borges de Freitas Universidade Federal de Goiás Goiás Brasil Isabela Machado Papalardo de Moraes Universidade Federal de Goiás Goiás Brasil Felipe Pagliuco Miranda Universidade Federal de Goiás Goiás Brasil Adriano C. Santana Universidade Federal de Goiás Goiás Brasil Collaborator Terezinha de Jesus Rodrigues de Sousa Universidade Federal de Goiás Goiás Brasil Small businesses have a great importance for the economy of Brazil and the success of these companies increasingly depends on the proper management of information. But as small Brazilian companies could properly handle the security of your information due to their financial constraints? We believe that a security framework can be adapted to allow the implementation in these companies. This article aims to offer the customization of a framework that meets the essential objectives of information security in organizations and indicate essential factors to assess the feasibility of its implementation in small businesses. We selected parts of a security framework that references to standards and best practices widely accepted in the market and address the main concerns with information security in small businesses according to market research on the subject. The parties selected and best practices associated with them allowed us to create the customization of a security framework. We conclude that the Small Business Profile of NIST Cybersecurity Framework, the framework proposed in this paper, has a great installation feasibility and serves as a portfolio for information technology service providers for this segment. Keywords: Information Security, Security Framework, Small Business, Viability, Governance. FRAMEWORK DE SEGURANÇA DA INFORMAÇÃO PARA PEQUENAS EMPRESAS BRASILEIRAS As pequenas empresas têm uma grande importância para a economia do Brasil e o sucesso das mesmas depende cada vez mais da adequada gestão de informações. Mas como as pequenas empresas brasileiras poderiam tratar adequadamente a segurança de suas informações dada sua restrição financeira? Acredita-se que um framework de segurança possa ser adaptado para permitir a implantação por essas empresas. Este artigo tem por objetivo propor a customização de um framework que atenda aos objetivos essenciais de segurança da informação nas organizações e indicar fatores essenciais para avaliação da viabilidade de sua implantação em pequenas empresas. Foram selecionadas partes de um 1449

2 framework de segurança que faz referência a padrões e melhores práticas amplamente aceitas no mercado e que endereçam as principais preocupações com segurança da informação nas pequenas empresas segundo pesquisas de mercado sobre o assunto. As partes selecionadas e as melhores práticas a elas associadas permitiram a criação da customização de um framework de segurança. Concluiu-se que o Perfil para Pequenas Empresas do NIST Cybersecurity Framework, o framework proposto neste artigo, apresenta grande viabilidade de implantação e serve como sugestão de portfólio para prestadores de serviços de tecnologia da informação para este segmento. Palavras-chave: Segurança da Informação, Framework de Segurança, Empresa de Pequeno Porte, Viabilidade, Governança. 1 INTRODUÇÃO A informação é estratégica para as organizações e deve ser tratada adequadamente. A segurança da informação é uma área que ganhou rapidamente notoriedade após as denúncias de espionagem praticada por agências de segurança norteamericanas e europeias. Profissionais da área acompanham notícias cada vez mais frequentes de exposição de dados sigilosos como dados de cartão de crédito e dados de acesso aos mais variados sistemas. As grandes organizações responsáveis por essas exposições normalmente anunciam medidas para evitar novos incidentes, e essas medidas requerem investimentos financeiros expressivos. Mas pouco se noticia a respeito desses problemas nas pequenas empresas. Como as pequenas empresas garantem a segurança de suas informações? Como identificam e reagem a incidentes? Como priorizam os investimentos em segurança? Dada a importante contribuição das pequenas empresas à situação econômico-financeira do país considera-se relevante investigar boas práticas para a segurança de suas informações como estratégia para o sucesso. Este artigo tem por objetivo propor a customização de um framework que atenda aos objetivos essenciais de segurança da informação nas organizações e indicar fatores críticos para avaliação da viabilidade de sua implantação em pequenas empresas. Serão avaliados quais os objetivos essenciais de segurança da informação, levantados os principais riscos e ameaças às pequenas empresas, além de selecionar e customizar um framework de segurança e por fim indicar fatores para avaliação da capacidade de investimento em segurança por pequenas empresas. Acredita-se que o Cybersecurity Framework (CSF) do NIST (National Institute of Standards and Technology) publicado em fevereiro de 2014 seja uma opção viável e tal hipótese será investigada. No início de 2012, as pequenas e médias empresas brasileiras eram responsáveis por 60% dos empregos formais no país e representavam 20% do PIB (MAPA..., 2012). Em 2013 uma pesquisa realizada pelo Sebrae (Agência de Apoio ao Empreendedor e Pequeno Empresário) em parceria com IBQP (Instituto Brasileiro de Qualidade e Produtividade) indicou que 52% dos empregos formais estavam nas micro e pequenas empresas, o que representava 40% da massa salarial (MICRO..., 2013). A informação como recurso estratégico da organização retoma a discussão do papel dos gestores na organização que devem ser info-gestores, termo utilizado para pessoas que possuem, compartilham ou vendem informações, de forma 1450

3 empresarial ou pessoal. (REZENDE, 2010: 12). A informação é estratégica para o sucesso das pequenas empresas e os gestores precisam se preocupar em como ela é tratada, guardada e manuseada, assim como se preocupam com os demais ativos da organização. São cada dia mais frequentes casos de exposição de informação de alto valor, perda de propriedade intelectual, dados de projetos estratégicos parando em mãos de concorrentes, etc. Incidentes facilitados por falta de controles adequados por parte das companhias ou por falhas de sistemas. Em pesquisa recente por grande fabricante do setor, as companhias perguntadas sobre a efetividade de seus controles para proteção de informações, 70% apontam que as políticas de segurança de suas corporações não são suficientes para proteção. (André Fávero apud SOMENZI, 2013). O número de incidentes envolvendo sistemas de informações das organizações é uma preocupação crescente entre os gestores, e por isso o tema segurança da informação está chamando a atenção em diversos setores. Em 2013 a TI continua lutando para manter a disponibilidade. Disponibilidade de informações e recursos tecnológicos para o bom andamento dos trabalhos da empresa. Um dos focos é incluir esta disponibilidade em equipamentos móveis provendo comunicação e níveis de segurança adequados. Outro foco importante é na automação. Precisamos gerar competitividade e diminuir o impacto causado pela escassez da mão de obra. (Daniel Misturini apud SOMENZI, 2013). Investimentos são necessários e é essencial uma correta análise em cada projeto, especialmente para as pequenas empresas que apresentam restrições de recursos para investimentos em tecnologia da informação (ECONOMIA..., 2013). Para a efetiva gestão da tecnologia da informação é fundamental a análise de viabilidade (custos, benefícios mensuráveis e não mensuráveis, riscos e respectivos resultados), contemplando, ainda, as óticas da realidade econômica, financeira e político-social da organização com o estado da arte e o sucateamento das tecnologias disponíveis no mercado. (REZENDE, 2010: 60). Também para Cohen (2011) os investimentos em tecnologia da informação devem ter por objetivo possibilitar o crescimento da empresa e permitir a captação de novos clientes e negócios e não somente melhorar a infraestrutura tecnológica. Há um consenso de que é necessário dar atenção e aplicar recursos para garantir a segurança das informações e também avaliar bem a viabilidade e retorno destes investimentos. A incógnita está em como estabelecer o ponto de equilíbrio entre a proteção desejada e o valor do investimento necessário. A seguir, serão abordados assuntos que darão subsídios para encontrar esse ponto de equilíbrio de forma satisfatória. 2 SISTEMAS DE INFORMAÇÃO Todo sistema que manipula dados e gera informação pode ser considerado sistema de informação (REZENDE, 2011: 37), mesmo que não utilize recursos de tecnologia da informação. O foco nesse artigo será para os sistemas que se utilizam de 1451

4 recurso de tecnologia da informação embora os conceitos aqui apresentados possam ser aplicados aos sistemas que não utilizam tais recursos. O sistema é um conjunto de elementos inter-relacionados com um objetivo: produzir relatórios que nortearão a tomada de decisões gerenciais. Neste percurso, pode-se identificar o processo que transforma dados de entrada, agregados aos comandos gerenciais, em saídas. Assim, o feedback do sistema faz com que, no meio da manutenção do ciclo operacional, sejam ativadas novas estratégias empresarias visando à geração de informações qualitativas ou quantitativas para suportar o alcance do sucesso absoluto. (IMONIANA, 2012: 16). Esse conceito apresentado por Imoniana pressupõe ações gerenciais na manipulação de dados para a produção de informações úteis às estratégias da organização. Mesmo ferramentas automatizadas dependem de decisões dos gestores para a geração de informações úteis. São diversos os conceitos de sistema. Destacam-se os seguintes: conjunto de partes que interagem entre si, integrando-se para atingir um objetivo ou resultado; partes interagentes e interdependentes que formam um todo unitário com determinados objetivos e efetuam determinadas funções; em informática, é o conjunto de software, hardware e recursos humanos; componentes da tecnologia da informação e seus recursos integrados; empresa ou organização e seus vários subsistemas. (REZENDE, 2011: 34). Aqui, Rezende amplia o conceito dado por Imoniana e considera toda a empresa como parte do sistema de informação. Os componentes tecnológicos são ferramentas para os sistemas, mas não são o sistema em si. O que normalmente chamamos de sistemas, como sistema de vendas ou sistema de estoque, são na verdade componentes de software, apenas uma parte do sistema de informação. Além dos componentes de software, devemos considerar os componentes de hardware (servidores, estações de trabalho, notebooks, tablets), recursos humanos (usuários dos softwares, desenvolvedores, gestores), recursos de comunicação (redes, links, cabos) e os dados e informações que passam ou não, em algum momento, pelos componentes de software da organização. Portanto, é preciso considerar todos estes componentes ao tratar a segurança dos sistemas de informação das organizações. Uma ferramenta de segurança que proteja um componente de software, por exemplo, pode ser importante para a segurança geral, mas sozinha não será suficiente se essa ferramenta desconsiderar os demais elementos do sistema. Ao abordar, a seguir, conceitos de segurança será possível observar o sistema como um todo, e não somente componentes isolados. 3 SEGURANÇA DA INFORMAÇÃO A segurança da informação trata da guarda e recuperação de dados, controle de acesso, auditoria, logística dos componentes de tecnologia e da segurança organizacional, mobiliária, lógica, física e outras (REZENDE, 2011: 104). Para Ferreira (2008), a segurança pode ser desmembrada em quatro aspectos: segurança computacional: tem por objetivo proteger o ambiente informatizado contra eventos inesperados que possam causar algum prejuízo; 1452

5 segurança lógica: prevenir acesso de pessoas não autorizadas às informações; segurança física: evitar acesso não autorizado, danos e interferências nas instalações físicas da organização; continuidade de negócios: visa reduzir a um nível aceitável, por meio de ações preventivas e de recuperação, o risco de paralisação da organização por desastres ou falhas. Tanenbaum apresenta um conceito mais simples, voltado para a segurança de dados e comunicações: A segurança é um assunto abrangente e inclui inúmeros tipos de problemas. Em sua forma mais simples, a segurança se preocupa em garantir que pessoas mal intencionadas não leiam, ou pior ainda, modifiquem secretamente mensagens enviadas a outros destinatários. Outra preocupação da segurança são as pessoas que tentam ter acesso a serviços remotos que elas não estão autorizadas a usar. Ela também lida com meios para saber se uma mensagem supostamente verdadeira é um trote. A segurança trata de situações em que mensagens legítimas são capturadas e reproduzidas, além de lidar com pessoas que tentam negar o fato de terem enviado determinadas mensagens. (TANENBAUM, 2003: 767). Apesar desse conceito simples, Tanenbaum evidencia cinco fundamentos da segurança da informação: confidencialidade: capacidade de garantir que a mensagem só possa ser lida por pessoas autorizadas; integridade: capacidade de detectar qualquer modificação na mensagem, por menor que seja; identidade: capacidade de determinar a correta identificação de quem deseja acessar algum recurso ou quem enviou uma mensagem; autenticidade: capacidade de verificar se a mensagem foi realmente enviada pelo suposto remetente; não repúdio: capacidade de provar que o remetente identificado enviou a mensagem, de forma que ele não possa negar o envio. Ferreira (2008) acrescenta a estes outros três fundamentos: disponibilidade: capacidade de garantir o acesso à informação sempre que for necessário; auditabilidade: capacidade de verificar quem acessou, quando e o que fez com a informação; legalidade: capacidade de garantir que o uso da informação está de acordo com a legislação, regulamentos, contratos e licenças. Três destes fundamentos são abordados de outra forma a seguir: Quando a maioria das pessoas pensa em segurança, elas pensam em 1453

6 confidencialidade. Confidencialidade significa que os seus dados são mantidos em segredo dos ouvintes não intencionais. [...] O segundo objetivo principal é a integridade da mensagem. A ideia básica aqui é que nós queremos ter certeza de que a mensagem que recebemos é a mesma que o remetente enviou. [...] A terceira propriedade com que estamos preocupados é com a autenticidade da outra ponta. O que queremos dizer com isso é que nós precisamos saber que uma das pontas na comunicação (normalmente o remetente) é quem realmente pretendemos que seja. (RESCORLA, 2008: 3, tradução nossa). Considerando os sistemas informatizados, alguns destes fundamentos são interdependentes. Atestar a autenticidade de uma mensagem só é necessário se primeiro a integridade dela for garantida, já que uma mensagem corrompida não deve ser considerada. E da mesma forma só há garantia de não repúdio para mensagens íntegras e autênticas. Em alguns contextos, identidade, autenticidade e não repúdio são tratados como um único fundamento, a autenticidade, já que os três estão relacionados com a identificação inequívoca do autor da informação ou mensagem. Qualquer tentativa de comprometimento de um dos fundamentos apresentados é tratado como uma ameaça à segurança, e os tipos de ameaças mais comuns serão tatrados a seguir. 3.1 AMEAÇAS Todos os componentes de um sistema de informação podem ser alvos de ataques contra sua segurança: softwares, hardwares, componentes de redes e telecomunicações, recursos humanos e dados. O possível dano ao alvo do ataque é chamado de ameaça, e cada ameaça tem seus possíveis agentes causadores, que tentarão explorar vulnerabilidades no componente alvo do ataque para comprometer sua segurança. Recursos humanos da organização são alvo de ameaças de roubo de identidade, vazamento de dados, indisponibilidade por razões diversas, erro humano, coerção, engenharia social, dentre outras. Os agentes de tais ameaças podem ser pessoas internas ou externas à organização ou acidentes. Do ponto de vista da segurança da informação a proteção para os recursos humanos de uma organização requer programas de conscientização e treinamentos periódicos (ABNT, 2013). A ideia da engenharia social é simples, senão patética: em vez de invadir o computador da sua empresa para obter senhas, é mais fácil entrar em contato com o seu Service Desk, fingir-se de autoridade (interna ou externa) e pedir dados ou informações vitais ao funcionamento de seu ambiente de segurança. (COHEN, 2011: 131). Os componentes de hardware sofrem com ameaças de furto, sabotagem e mau funcionamento. A proteção desses equipamentos requer segurança física para garantir o acesso somente de pessoal autorizado. Também requer instalações adequadas para protegêlos de surtos elétricos e ações do meio ambiente (umidade, calor, poeira), e ainda manutenção preventiva e corretiva para garantir seu bom funcionamento (ABNT, 2013). Componentes de software, de telecomunicações e dados sofrem ameaças comuns e geralmente são tratados em conjunto. Isso porque as ameaças atacam esses três componentes para roubar dados ou adulterá-los tanto em estado estacionário (armazenado em arquivos e banco de dados) ou em trânsito (sistemas de Internet, cliente-servidor, mensagens eletrônicas). Por serem componentes intangíveis, a defesa para esses componentes é complexa e onerosa e inclui proteção contra software malicioso (como os 1454

7 vírus de computador), roubo de dados e arquivos (impedir que sejam copiados sem autorização), acesso não autorizado por pessoas internas ou externas, intercepção e interferência nas telecomunicações (ISACA, 2012:2). Projetistas de protocolos de segurança da Internet normalmente compartilham um modelo de ameaças mais ou menos comum. Em primeiro lugar, é assumido que os sistemas finais em que o protocolo está sendo executado são seguros. Proteger contra ataques quando um dos sistemas das pontas está sob o controle do atacante é extraordinariamente difícil, para não dizer impossível. [...] Além disso, assume-se que o atacante tem controle do canal de comunicação entre duas máquinas quaisquer. (RESCORLA, 2008: 1, tradução nossa). Segurança em telecomunicações tem uma complexidade tão elevada que projetistas de software assumem que o canal de comunicação está sob controle do atacante (o agente da ameaça contra as comunicações), e assim tratam de proteger os dados antes de enviá-los ao canal de comunicação e de verificar os dados recebidos antes de aceitá-los como legítimos. Quando uma mensagem de correio eletrônico é enviada entre dois sites diferentes, geralmente ela transita por dezenas de máquinas até chegar a seu destino. Qualquer uma dessas máquinas pode ler e armazenar a mensagem para usá-la posteriormente. Na prática, não há privacidade, apesar de muita gente achar o contrário. (TANENBAUM, 2003: 849). Além dessas ameaças aos dados em trânsito, há a permanente ameaça de acesso remoto não autorizado às estações de trabalho e servidores da organização. Um atacante pode conseguir acesso explorando vulnerabilidades em equipamentos e softwares mal configurados, com senhas fracas ou que apresentem falhas em seus softwares. Antes do surgimento de aplicações web, os esforços das organizações para proteger-se contra ataques externos foram, em grande parte, focados no perímetro da rede. Defender este perímetro implicou o reforço e correção para os serviços de que precisava expor e bloqueio do acesso a outros serviços. Aplicações Web mudaram tudo isso. [ ] Se existe uma vulnerabilidade em uma aplicação web, um atacante na Internet pública pode ser capaz de comprometer sistemas internos centrais da organização somente submetendo dados criados a partir de seu navegador. (STUTTARD, 2011: 12, tradução nossa). A proteção a esses componentes intangíveis inclui ferramentas de controle de acesso, monitoramento, filtros e protocolos de segurança nas telecomunicações, criptografia de dados, mecanismos de bloqueio de equipamentos, verificação da integridade de dados e sistemas e testes periódicos de toda essa segurança (ISACA, 2012:2). O mapeamento dessas ameaças ao sistema de informações é essencial para a decisão sobre o que proteger, já que não é viável implantar a segurança ideal contra todas as ameaças. Para cada ameaça mapeada a organização precisa decidir entre: aplicar controles e medidas de segurança (investir); transferir o risco às seguradoras ou fornecedores, o que também envolve custos; aceitar os riscos ou evitá-los quando possível, eliminando o serviço ou componente alvo da ameaça (ABNT, 2013). A disciplina que trata especificamente desse mapeamento é chamada de Gestão de Riscos e não será detalhada 1455

8 neste artigo. Uma das funções mais importantes de um modelo de ameaça é conseguir com que a segurança não se torne mais cara do que vale a pena. As medidas de segurança devem ser entregues somente até o ponto onde o custo para a sua execução não exceda o risco esperado. (RESCORLA, 2008: 2, tradução nossa). Por contarem com poucos recursos disponíveis para investir em tecnologia da informação, as pequenas empresas muitas vezes são obrigadas a aceitar os riscos da falta de segurança de informação, colocando a organização toda em perigo, e por isso se faz necessário a busca por soluções viáveis para esse segmento (ECONOMIA..., 2013). As decisões a respeito de como tratar cada ameaça mapeada serão as diretrizes para a definição da política de segurança da organização, que serão tratadas a seguir. 3.2 POLÍTICA DE SEGURANÇA, PLANOS DE CONTINGÊNCIA E DE CONTINUIDADE E AUDITORIA A Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação (FERREIRA, 2008: 36). Esses procedimentos e normas de segurança da informação devem ser definidos em conjunto com a alta administração da organização como uma consequência da gestão de riscos, e fazem parte do sistema de controle interno da organização (IMONIANA, 2012). Os principais objetivos de um sistema geral de controle interno são: salvaguardar o ativo de uma organização, manter a integridade, correção e confiabilidade dos registros contábeis, promover a eficiência operacional e encorajar o cumprimento dos procedimentos e políticas da gerência. Esses objetivos não apresentam diferenças nos procedimentos de controles internos em ambientes de tecnologia de informações. (IMONIANA, 2012: 41). A política de segurança deve fornecer uma abordagem de gerenciamento consistente para permitir que os requisitos sejam cumpridos, abrangendo os processos de gestão da informação, estruturas organizacionais, papéis e responsabilidades, atividades confiáveis e repetíveis, e as habilidades e competências das pessoas envolvidas. Todos na organização devem estar cientes da política e saber como implementá-la (ISACA, 2013). Todo o esforço evidenciado na política de segurança tem por objetivo evitar que as ameaças se concretizem, prejudicando as operações da organização. No entanto, a organização também precisa estar preparada para os momentos em que não conseguir evitar que um incidente aconteça. Para esses casos, ela precisa de um plano de contingência que ofereça alternativas aos recursos comprometidos para garantir o funcionamento do seu sistema de informações, até que todos os reparos sejam concluídos (REZENDE, 2011). Para as situações em que uma alternativa de funcionamento não seja viável, a organização precisa de um plano de recuperação de desastres com medidas operacionais documentadas que permitam o menor tempo possível de recuperação dos componentes para que o sistema de informações volte a funcionar (IMONIANA, 2012). [Business Continuity Planning] é a habilidade de se assegurar a continuidade de 1456

9 desenvolvimento de produtos ou serviços e apoios aos consumidores de forma ininterrupta e manter a viabilidade corporativa após uma exposição a um desastre. (IMONIANA, 2012: 192). Percebe-se que há uma progressão de maturidade no gerenciamento de riscos. Primeiro a organização identifica as ameaças aos seus sistemas, prioriza os investimentos e define a política de segurança como forma de prevenção a incidentes. Em seguida, deve planejar alternativas de funcionamento para os casos em que não for possível evitar a ocorrência das ameaças. Avançando nesse processo, um plano de recuperação bem documentado assegura retomada mais rápida das operações após paradas de sistemas. E por fim, a organização poderá se preparar para enfrentar até mesmo desastres de maiores impactos, garantindo sua sobrevivência apesar das perdas. A filosofia de auditoria em tecnologia de informação está calcada em confiança e em controles internos. Estes visam confirmar se os controles internos foram implementados e se existem; caso afirmativo, se são efetivos. (IMONIANA, 2012: 17). A política de segurança, o plano de contingência e o plano de continuidade definem diretrizes, procedimentos e atividades para tratar cada ameaça, e cada ameaça tratada implica em um ou mais controles internos. A auditoria de segurança deve aferir a efetividade desses controles e apontar necessidades de correção e oportunidades de melhorias. Dada a complexidade da segurança da informação, é esperado que uma organização só consiga implantar corretamente todos os controles planejados após acumular experiências e aumentar a maturidade de seus processos internos. 4 FRAMEWORKS DE SEGURANÇA E GOVERNANÇA Oxford (2013) traduz framework como armação, estrutura, sistema. No contexto de processos de gestão de segurança e governança de tecnologia da informação, podemos entender frameworks como um conjunto estruturado ou uma biblioteca de práticas, padrões, normas, processos, atividades, objetivos, requisitos, controles e métricas (ISACA, 2012:1). Os padrões ISO (International Organization for Standardization) da família para segurança da informação formam um framework, pois além de normas há códigos de práticas, métricas, guias de implantação e auditoria e guias de gestão. O mesmo ocorre com a família ISO para gestão de serviços de TI (ISO, 2014). O ITIL é definido como uma biblioteca de práticas para gestão dos serviços de tecnologia da informação (TSO, 2007). E o COBIT se define como um framework compreensivo que auxilia organizações a alcançar seus objetivos de gestão e governança das informações corporativas (ISACA, 2012:1). Esses frameworks citados têm muito em comum, tanto que ITIL e COBIT possuem tabelas que apontam a relação mútua entre eles e também com as famílias ISO e ISO O mais abrangente deles é o COBIT por tratar de processos de governança corporativa da informação e não dar foco apenas em tecnologias de informática. Por outro lado, ITIL e as famílias ISO citadas detalham melhor os objetivos de controle de tecnologia, por isso é aconselhável conhecer e aplicar esses frameworks em conjunto. No entanto, o esforço e custo necessários para aplicar todos não é viável na maioria dos casos dado o elevado número de processos e controles a serem implementados, portanto a organização deve selecionar um subconjunto dos frameworks que atendam seus objetivos prioritários e que sejam passíveis de implantação com os recursos disponíveis. Essa implantação deve ser revista periodicamente, se possível com auditorias, para avaliar os resultados e recomendar melhorias. A cada revisão, novos processos e controles podem 1457

10 ser adicionados aos já implantados melhorando os controles de segurança à medida que a maturidade da organização aumenta. 4.1 ISO A versão brasileira mais recente publicada pela ABNT (Associação Brasileira de Normas Técnicas) é a ABNT NBR ISO/IEC 27001:2013. Ela provê requisitos para um sistema de gestão de segurança da informação da organização, mas não fornece um guia de como atender tais requisitos já que esta norma é genérica e pode ser aplicada a todas as organizações, independentemente do tipo, tamanho ou natureza. Se a organização busca certificação de conformidade com a norma deve atender a todos os requisitos (ABNT, 2013). A ABNT também publicou versões brasileiras da ISO 27003, que estabelece diretrizes para projeto e implantação de um sistema de gestão de segurança da informação, e a da ISO 27004, que estabelece diretrizes para desenvolvimento e uso de métricas e medições para a avaliação de um sistema de gestão de segurança da informação. A lista completa de normas ISO está no Anexo COBIT O COBIT 5, versão lançada em 2012, auxilia organizações a manter o equilíbrio entre benefícios, níveis de risco e utilização de recursos. Permite uma gestão para toda a organização e não apenas para tecnologia da informação, considerando todo o negócio. É genérico e útil para organizações de todos os tamanhos, comerciais, sem fins lucrativos ou do setor público (ISACA, 2012:1). Sua estrutura de controles possui padrões aceitos mundialmente como os melhores praticados para o estabelecimento de controles e padrões de segurança para a área de Tecnologia da Informação das empresas dos mais variados segmentos de negócio, principalmente, do setor financeiro. O CobiT, segundo o site da ISACA, foi adotado pelo Federal Reserve (EUA) como fonte de referência para a revisão dos sistemas de informação do sistema bancário norteamericano, demonstrando claramente a sua abrangência. (FERREIRA, 2008: 57). O COBIT passou por uma evolução significativa em seu escopo nos quinze anos desde seu lançamento e talvez por isso seja tão amplamente aceito. Sua primeira versão tinha como foco auditoria da tecnologia da informação. Nas versões seguintes seu escopo incluiu controles, depois gestão da tecnologia e na versão 4 a governança da tecnologia da informação. Já na versão 5 o escopo abrange a governança das informações da organização e das tecnologias relacionadas, direcionando o foco das atenções ao gestor do negócio e não mais ao gestor da tecnologia. Essa evolução pode ser vista na Figura 1. Mesmo com a generalização do escopo, o COBIT 5 continua apresentando processos, práticas de gestão, métricas e atividades de forma detalhada e isso contribui para uma efetiva implantação (ISACA, 2012:2). Figura 1 - Evolução do escopo do COBIT 1458

11 FONTE: ISACA (2012:1) 4.3 NIST CYBERSECURITY FRAMEWORK (NIST CSF) O NIST (National Institute of Standards and Technology) é Instituto Nacional de Padrões e Tecnologia, uma divisão do Departamento de Comércio dos EUA. Por meio de seu Laboratório de Sistemas de Computação (Computer Systems Laboratory), o NIST promove padrões abertos e de interoperabilidade com o objetivo de estimular o desenvolvimento econômico das indústrias baseadas em computação (SCHNEIER, 1996). Em fevereiro de 2014 o NIST publicou a primeira versão de seu Cybersecurity Framework (CSF) em resposta à Ordem Executiva do presidente dos EUA de fevereiro de Essa ordem executiva tratava de aumentar a segurança cibernética e resiliência da infraestrutura crítica do país. O framework foi criado com a colaboração entre o governo norte-americano e o setor privado, tendo como foco a gestão de riscos com custos eficientes e permite que as organizações apliquem princípios e melhores práticas de gestão de riscos para melhorar a segurança e resiliência de sua infraestrutura crítica, independentemente do tamanho da empresa, grau de risco ou sofisticação de seu sistema de segurança (NIST, 2014). O Cybersecurity Framework (CSF) utiliza o processo de gestão de riscos para permitir que as organizações possam informar e priorizar decisões relativas à cibersegurança. É adaptativo para prover uma implementação flexível baseada na gestão de riscos e é composto de três partes: Núcleo do Framework: um conjunto de atividades de segurança, resultados desejados e referências aplicáveis que são comuns a diversos setores críticos. Consiste em cinco funções concorrentes e contínuas, cada uma com categorias e subcategorias que são relacionadas com padrões e práticas de mercado, tais como COBIT e ISO Níveis de Implementação (Tiers): provê contexto em como a organização vê os riscos de segurança e os processos implantados para gerenciá-los. Esses níveis caracterizam a organização entre Parcial (Tier 1) a Adaptativo (Tier 4) e refletem o progresso na implantação dos controles. 1459

12 Perfil: representa as categorias e subcategorias do framework que uma organização selecionou baseada nas suas necessidades de negócio. Pode ser considerado um alinhamento de cenário particular com padrões, guias e práticas do framework. Perfis podem ser usados para mapear oportunidades de melhoria ao criar um perfil atual e um perfil desejado da organização. Também podem ser úteis para a comunicação de padrões de segurança na organização e com outras organizações. As cinco funções do NIST CSF organizam as atividades de segurança em seu nível mais alto. As vinte e duas categorias são subdivisões das funções em grupos de resultados intimamente ligados a necessidades e atividades específicas. E as noventa e oito subcategorias dividem as categorias por resultados de atividades técnicas e/ou gerenciais. São estas as funções definidas pelo framework: Identificar: entender o contexto dos negócios e os recursos que suportam serviços críticos para fazer uma efetiva gestão de riscos a partir das prioridades da organização. Proteger: desenvolver e implementar proteções aos recursos que suportam serviços críticos e limitar os impactos de um evento de segurança. Detectar: implantar atividades para garantir que eventos de segurança sejam detectados. Responder: responder de forma apropriada aos eventos de segurança para conter os impactos. Recuperar: manter planos de contingência e de restauração da capacidade dos recursos afetados por um evento de segurança. 5 CUSTOMIZAÇÃO DO NIST CSF O NIST CSF é extenso para ser implementado todo de uma vez apesar de priorizar apenas atividades essenciais da gestão de segurança da informação. No próprio framework há uma sugestão de passos para uma implantação progressiva por meio da criação de perfis sucessivos, agregando a cada ciclo novas categorias e subcategorias a serem implementadas de acordo com as prioridades identificadas na gestão de riscos. Para esse artigo será criado um perfil mínimo inicial. Serão eleitas atividades a serem implantadas a partir de processos COBIT referenciados pelas subcategorias selecionadas do NIST CSF para esse perfil inicial. Dessa forma, pretende-se propor um framework de segurança que sirva de referência para que pequenas empresas possam iniciar a gestão de segurança da informação e possam incrementar esse perfil em um processo de melhoria contínua. E para criar esse perfil serão analisados quais os riscos de maior impacto para as pequenas empresas e, a partir daí, serão priorizadas as atividades a serem implantadas. 5.1 PRIORIZANDO RISCOS Segundo pesquisa realizada pela Kaspersky Lab (KASPERSKY LAB, 2014), há dois tipos principais de riscos para os quais as corporações buscam proteção: o de interrupção das operações da organização, e o de perda ou vazamento de dados confidenciais. Foram destacadas as cinco maiores preocupações com segurança da informação citadas na pesquisa: Proteção de dados altamente sensíveis (por exemplo, dados de clientes e 1460

13 informações financeiras) contra ataques direcionados; Prevenção de brechas de segurança na tecnologia da informação; Proteção de dados; Garantir a continuidade do serviço para sistemas essenciais aos negócios; Entender a gama de novas tecnologias disponíveis e como utilizá-las. Outra informação importante é o impacto financeiro de incidentes de segurança. Ainda segundo essa pesquisa, nas pequenas empresas o custo médio por incidente foi de US$ 42k (quarenta e dois mil dólares americanos). É um custo pequeno se comparado ao das empresas globais, que foi de US$ 720k, mas ainda assim o prejuízo com um único incidente pode significar a falência para pequenas empresas. A pesquisa classificou as principais ameaças nas pequenas empresas de acordo com o impacto financeiro, do maior para o menor: Ataques direcionados; Espionagem corporativa; Invasão de rede / hacking; Ataques de negação de serviço (Dos/DDoS); Vulnerabilidades em softwares; Vazamento intencional de dados; Fraudes cometidas por empregados; Falhas de terceiros (fornecedores, clientes); Vazamento acidental de dados; Software mal-intencionado (vírus, malware, etc). Tendo em vista essas duas informações (principais preocupações e principais ameaças), será elaborado o perfil para as pequenas empresas. 5.2 NIST CSF PARA PEQUENAS EMPRESAS Dentre as noventa e oito subcategorias do NIST CSF foram selecionadas vinte que julgou-se sendo mais relevantes para o tratamento adequado dos riscos identificados, contemplando todas as funções do framework. Também considerou-se os fundamentos de segurança da informação abordados no capítulo 3 deste artigo. A Tabela 1 apresenta o perfil proposto para aplicação em pequenas empresas. 5.3 ATIVIDADES PARA O PERFIL SELECIONADO No NIST CSF, cada subcategoria selecionada na Tabela 1 faz referência a outros frameworks. Para a proposta deste artigo usou-se apenas as atividades recomendadas no COBIT 5. A partir dessas referências foram selecionadas as atividades de forma a atender o objetivo principal de cada subcategoria para que o conjunto final tenha o menor custo de implantação possível. Selecionou-se trinta atividades do COBIT 5, o que corresponde a 2,7% do total de um mil, cento e doze atividades. Apesar de relativamente pequena, a lista de atividades selecionadas representa um desafio para implantação em pequenas empresas e atende aos objetivos das vinte subcategorias do perfil proposto. 1461

14 As atividades selecionadas estão listadas na Tabela 2 e estão relacionadas às subcategorias do perfil citado no tópico anterior. Algumas atividades atendem aos objetivos de mais de uma subcategoria do NIST CSF. As organizações que vencerem o desafio da implantação podem melhorar este perfil avançando de Tier 1 (Parcial) até Tier 4 (Adaptativo) simplesmente acrescentando novas atividades dos processos COBIT referenciados. Outra opção é ampliar o perfil acrescentando subcategorias do framework e selecionando novas atividades correspondentes. 6 CAPACIDADE DE INVESTIMENTO E VIABILIDADE A implantação de gestão de segurança da informação requer pessoal qualificado, o que geralmente representa um custo elevado para as pequenas empresas. Por essa razão e pela criticidade que representa ao processo de implantação, o principal fator para avaliação da viabilidade é o custo de recrutar e manter bons profissionais. Tabela 1 - NIST CSF - Perfil para Pequenas Empresas # Função Categoria Subcategoria Referência COBIT ID: Identificar ID: Identificar ID: Identificar ID: Identificar ID: Identificar PR: Proteger PR: Proteger PR: Proteger PR: Proteger PR: Proteger PR: Proteger PR: Proteger ID.AM: Gestão de Ativos ID.AM: Gestão de Ativos ID.GV: Governança ID.RA: Análise de Riscos ID.RA: Análise de Riscos PR.AC: Controle de Acesso PR.AT: Conscientização e Treinamento PR.DS: Segurança dos Dados PR.DS: Segurança dos Dados PR.DS: Segurança dos Dados PR.IP: Processos e Procedimentos de Proteção de Informações PR.MA: Manutenção ID.AM-1: Dispositivos físicos e sistemas da organização são inventariados ID.AM-2: Plataformas de software e aplicações da organização são inventariados ID.GV-1: Uma política organizacional de segurança da informação é estabelecida ID.RA-5: Ameaças, vulnerabilidades, probabilidades e impactos são usados para determinar os riscos ID.RA-6: Respostas aos riscos são identificadas e priorizadas PR.AC-1: Identidades e credenciais são gerenciadas para dispositivos e usuários autorizados PR.AT-1: Todos os usuários são informados e treinados PR.DS-1: Dados em repouso são protegidos PR.DS-2: Dados em trânsito são protegidos PR.DS-7: O ambiente de desenvolvimento e testes é separado do ambiente de produção PR.IP-4: Cópias de segurança são realizadas, mantidas e testadas periodicamente PR.MA-1: Manutenção e reparo dos ativos da organização são efetuados e registrados em tempo hábil, com ferramentas controladas e aprovadas BAI09.01, BAI09.02 BAI09.01, BAI09.02, BAI09.05 APO01.03 APO12.02 APO13.02 DSS05.04, DSS06.03 APO07.03, BAI05.07 APO01.06, BAI02.01, BAI06.01, DSS06.06 APO01.06, DSS06.06 BAI07.04 DDS04.07 BAI

15 # Função Categoria Subcategoria Referência COBIT DE: Detectar DE: Detectar DE: Detectar RS: Responder RS: Responder RS: Responder RS: Responder RC: Recuperar DE.AE: Anomalias e Eventos DE.CM: Monitoramento Contínuo de Segurança DE.CM: Monitoramento Contínuo de Segurança RS.AN: Análise DE.AE-4: O impacto dos eventos é determinado DE.CM-4: Código malicioso é detectado DE.CM-8: Varreduras de vulnerabilidades são realizadas RS.AN-2: O impacto do incidente é entendido APO12.06 DSS05.01 DSS05.02 APO12.06 RS.MI: Mitigação RS.MI-1: Incidentes são contidos APO12.06 RS.MI: Mitigação RS.MI-2: Incidentes são mitigados APO12.06, DSS05.01 RS.MI: Mitigação RC.RP: Planejamento de Recuperação RS.MI-3: Vulnerabilidades recém identificadas são mitigadas ou documentadas como risco aceito RC.RP-1: O plano de recuperação é executado durante ou após um evento Fonte: O autor (2014) DSS05.02 DSS02.05, DSS03.04 Tabela 2 - Mapa de atividades - NIST CSF - Perfil para Pequenas Empresas # COBIT Atividade NIST 1 BAI Registrar todos os ativos em um inventário atualizado. Manter o alinhamento com os processos de gerenciamento de mudança e configuração, e os registros contábeis e financeiros. 2 BAI Identificar os ativos que são fundamentais para a organização, fazendo referência a exigências em definições de serviços, SLAs e ao sistema de gerenciamento de configuração. 3 BAI Regularmente avaliar o risco de falha ou necessidade de substituição de cada ativo crítico. 4 BAI Manter um registro de todas as licenças de software adquiridas e acordos de licença associados. 5 APO Criar um conjunto de políticas para direcionar as expectativas de controle de TI sobre os principais tópicos relevantes, tais como qualidade, segurança, confidencialidade, controles internos, uso dos ativos de TI, ética e direitos de propriedade intelectual. 6 APO Avaliar e atualizar as políticas pelo menos anualmente para acomodar as alterações nos ambientes operacionais ou de negócios. 7 APO Construir e atualizar regularmente cenários de risco, incluindo cenários compostos em cascata e/ou tipos de ameaças coincidentes, e desenvolver expectativas para as atividades específicas de controle, as capacidades de detecção e outras medidas de resposta. 8 APO Analisar o custo-benefício das opções de resposta a riscos potenciais, tais como evitar, reduzir/mitigar, transferir/compartilhar, ou aceitar. Propor a resposta ideal ao risco. 9 APO Formular e manter um plano de tratamento de riscos de segurança da informação alinhados com os objetivos estratégicos e da arquitetura corporativa. Certificar-se de que o plano identifica as práticas de gestão de segurança adequadas e ideais, associadas a recursos, responsabilidades e prioridades para a gestão dos riscos de segurança da informação identificados. ID.AM-1, ID.AM-2 ID.AM-1, ID.AM-2 ID.AM-1, ID.AM-2 ID.AM-2 ID.GV-1 ID.GV-1 ID.RA-5 ID.RA-5 ID.RA

16 # COBIT Atividade NIST 10 DSS Manter permissões de acesso dos usuários de acordo com os requisitos da função e dos processos de negócio. Alinhar o gerenciamento de identidades e direitos de acesso às funções e responsabilidades definidas, baseado nos princípios de privilégios mínimos, necessidade de ter e necessidade de saber. 11 DSS Atribuir permissões de acesso e privilégios com base em apenas o que é necessário para executar as atividades de trabalho, com base em papéis de trabalho pré-definidos. Remover ou revisar os direitos de acesso imediatamente se o papel do trabalho muda ou um membro da equipe deixa a área de processo de negócio. Revisar periodicamente para garantir que o acesso é apropriado para as atuais ameaças, riscos, tecnologias e necessidades do negócio. 12 APO Desenvolver e implementar programas de treinamento com base em requisitos organizacionais e de processos, incluindo requisitos para a gestão de conhecimento da empresa, controle interno, ética e segurança. 13 BAI Fornecer orientação, formação, treinamento e transferência de conhecimento para os novos funcionários para sustentar a operação e as mudanças. 14 APO Definir e implementar procedimentos para garantir a integridade e consistência de todas as informações armazenadas em formato eletrônico, tais como bancos de dados e arquivos de dados. 15 DSS Aplicar a classificação de dados e de uso aceitável, as políticas de segurança e procedimentos para proteger os ativos de informação. 16 DSS Restringir o uso, distribuição e acesso físico de informações de acordo com sua classificação. 17 BAI Planejar e avaliar todas as requisições de mudanças de uma forma estruturada. Incluir uma análise do impacto em processos de negócios, infra-estrutura, sistemas e aplicações, planos de continuidade de negócios (PCN) e prestadores de serviços para garantir que todos os componentes afetados foram identificados. Avaliar a probabilidade de prejudicar o ambiente operacional e os riscos de implementação da mudança. Considerar implicações de segurança, legais, contratuais e de conformidade da alteração solicitada. Considerar também as interdependências entre as mudanças. Envolver os proprietários de processos de negócios no processo de avaliação, conforme o caso. 18 BAI Garantir que o ambiente de testes é seguro e incapaz de interagir com os sistemas de produção. 19 DSS Fazer cópia de segurança (backup) dos sistemas, aplicações, dados e documentação de acordo com um cronograma definido, considerando: Frequência (mensal, semanal, diária, etc) Modo do backup (p.e., espelhamento de discos para backup em tempo real vs. DVD para retenção de longo tempo) Tipo de backup (p.e., completo vs. incremental) Tipo de mídia Backups automatizados online Tipos de dados (p.e., voz, ótica) Criação de trilhas de auditoria (logs) Dados computacionais críticos (p.e., planilhas eletrônicas) Localização física e lógica das fontes de dados Segurança e permissões de acesso Criptografia PR.AC-1 PR.AC-1 PR.AT-1 PR.AT-1 PR.DS-1, PR.DS-2 PR.DS-1 PR.DS-1, PR.DS-2 PR.DS-1 PR.DS-7 PR.IP-4 20 DSS Testar periodicamente e atualizar os dados arquivados e de backup. PR.IP-4 21 BAI Incorporar as janelas de manutenção planejadas (tempo de inatividade, downtime) em uma agenda global de produção e programar as atividades de manutenção para minimizar o impacto negativo sobre os processos de negócios. 22 APO Classificar os incidentes e comparar as exposições reais com os limites de tolerância ao risco. Comunicar impactos nos negócios para os tomadores de decisão como parte do relatório, e atualizar o perfil de risco. PR.MA-1 DE.AE-4, RS.AN-2, RS.MI-1, RS.MI

17 # COBIT Atividade NIST 23 APO Aplicar o plano de resposta adequado para minimizar o impacto quando ocorrem incidentes de segurança. 24 APO Examinar incidentes passados/perdas adversas e oportunidades perdidas e determinar as suas causas. Comunicar a causa-raiz, os requisitos para a resposta aos novos riscos e melhorias de processos para os tomadores de decisão adequados e garantir que a causa, requisitos de resposta e melhoria de processos estão incluídos nos processos de gestão de risco. 25 DSS Instalar e ativar ferramentas de proteção contra softwares maliciosos em todos os ativos de processamento, com definição de softwares maliciosos atualizados conforme necessário (de forma automática ou semi-automática). 26 DSS Realizar testes de penetração periódicos para determinar a adequação da proteção de rede. 27 DSS Realizar testes periódicos de segurança dos sistemas para determinar a adequação da proteção de sistema. 28 DSS Selecionar e aplicar as soluções mais apropriadas para os incidentes (solução temporária e/ou solução permanente). DE.AE-4, RS.AN-2, RS.MI-1, RS.MI-2 DE.AE-4, RS.AN-2, RS.MI-1, RS.MI-2 DE.CM-4, RS.MI-2 DE.CM-8, RS.MI-3 DE.CM-8, RS.MI-3 RC.RP-1 29 DSS Realizar ações de recuperação após incidentes, se necessário. RC.RP-1 30 DSS Encerrar registros de problemas após a confirmação da eliminação bemsucedida do erro conhecido, ou após um acordo sobre como lidar com o problema de forma alternativa. Fonte: O autor (2014) RC.RP-1 Nas empresas de pequeno e médio porte a insegurança é geralmente maior em função da falta de pessoal de segurança adequadamente treinado e consequentemente da falta de medidas de segurança implantadas. Recente pesquisa realizada pela McAfee aponta que uma pequena ou média empresa que possua entre 50 e usuários de computador conte com apenas 1,8 profissionais de TI no staff. E que apenas 8% destas empresas possuem um profissional dedicado à Segurança da Informação. E nas 92% restantes, quem trabalha pela Segurança da Informação? (MERCADO, 2013). Ferramentas tecnológicas também são necessárias para o desempenho das atividades selecionadas e podem envolver mais custos. Das trinta atividades selecionadas para o perfil proposto, algumas requerem obrigatoriamente o uso de ferramentas para: controle de acesso (serviço de diretório de usuários ou controladores de domínio, p.e.); integridade e consistência de dados; cópias de segurança; anti-vírus e anti-malware; testes de vulnerabilidades e de penetração em redes. As demais atividades podem contar com ajuda de ferramentas, mas não são dependentes destas para que sejam executadas. Em organizações maiores, com grande número de usuários e/ou de colaboradores, pode ser inviável executar algumas atividades sem o auxílio de ferramentas automatizadas e essa necessidade precisa ser avaliada para otimizar os investimentos. 1465

18 Este processo de cinco etapas funciona para julgar qualquer medida de segurança, no passado, presente ou futuro. Qual problema essa medida resolve? Quão bem resolve o problema? Que novos problemas ela acrescenta? Quais são os custos econômicos e sociais? Diante do exposto, os custos valem a pena? (SCHNEIER, 2002, tradução nossa). Organizações que tenham forte restrição orçamentária podem optar por utilizar ferramentas grátis (freeware) e/ou de código aberto (open source) com o objetivo de economizar na fase inicial com as ferramentas para poder investir mais em pessoal qualificado, e essa escolha é outro fator importante na avaliação da viabilidade de implantação do framework proposto. Outra opção é terceirizar parte das atividades, especialmente as que requerem pessoal mais qualificado ou ferramentas de maior custo, atentando para a necessidade de especificar em contrato os requisitos de qualidade na execução de cada atividade terceirizada. Optando por terceirização, é recomendável acrescentar ao perfil a subcategoria PR.AT-3 (terceiros entendem seus papéis e responsabilidades) e as atividades pertinentes do processo APO10 do COBIT 5 (gerenciar fornecedores). Para organizações que não têm orçamento disponível para incluir um profissional com alguma qualificação em segurança da informação em seu quadro de colaboradores, a falta de fornecedores que possam terceirizar atividades de maior custo pode inviabilizar a implantação do framework. O perfil proposto neste artigo também pode ser útil para que prestadores de serviço de suporte em tecnologia da informação possam incluir em seus portfólios as atividades aqui propostas e, dessa forma, suprir essa necessidade. 7 CONCLUSÃO O Perfil para Pequenas Empresas do NIST CSF (Cybersecurity Framework), proposto neste artigo, apresenta grande viabilidade de implantação e serve como sugestão de portfólio para prestadores de serviços de tecnologia da informação. Os objetivos essenciais de segurança da informação foram revisados e os principais riscos para pequenas empresas levantados a partir de pesquisas de mercado. Foi possível escolher um conjunto relativamente pequeno de controles de segurança para a criação do perfil e, a partir de melhores práticas de mercado, selecionar atividades que atendam a esses controles. Essa seleção de controles e atividades formam o framework de segurança customizado, proposto para implantação em pequenas empresas. Por fim, os fatores críticos para avaliação da viabilidade de implantação desse framework customizado a partir do NIST CSF foram apresentados com o objetivo de auxiliar as organizações a decidirem a respeito dos investimentos em segurança da informação. Não foram encontradas pesquisas de riscos e práticas de segurança da informação específicas para pequenas empresas brasileiras, mas obtêve-se acesso a dados importantes sobre esse segmento em pesquisas globais sobre o assunto. Foi abordada, superficialmente neste artigo, a gestão de riscos e esse assunto merece uma investigação mais aprofundada voltada para o segmento de pequenas empresas. Outro aspecto que merece um estudo mais detalhado são as ferramentas tecnológicas de baixo custo, que possam ser utilizadas na implementação do framework proposto neste estudo e que contribuam para a viabilização de sua implantação. 1466

19 REFERÊNCIAS ABNT, ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Requisitos. Rio de Janeiro, COHEN, Roberto. Gestão de help desk e service desk: ensaios e crônicas ao supervisor de pequenos e médios centros de suporte técnico, help desk e service desk. São Paulo: Novatec, ECONOMIA da informação deve movimentar cerca de R$ 490 bilhões no Brasil neste ano. TI Inside, 12 ago Disponível em <http://convergecom.com.br/tiinside/12/08/2013/ setor-de-economia-da-informacao-movimentara-r-490-bilhoes-no-brasil-neste-ano/>. Acesso em 30 ago FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de Segurança da Informação - Guia Prático para Elaboração e Implementação. 2. ed. revisada. Rio de Janeiro: Ciência Moderna, IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2. ed. 4. reimpr. São Paulo: Atlas, ISACA. COBIT 5 - A Business Framework for the Governance and Management of Enterprise IT. Meadows, ISACA. COBIT 5 - Enabling Processes. Meadows, ISACA. Process Assessment Model (PAM): Using COBIT 5. Meadows, ISO. IT Management Collection. Disponível em <https://www.iso.org/obp/ui/#iso:pub: PUB200013:en>. Acesso em 31 ago KASPERSKY LAB. IT Security Risks Survey 2014: A Business Apprach To Managing Data Security Threats. 6 ago Disponível em <http://media.kaspersky.com/en/ IT_Security_Risks_Survey_2014_Global_report.pdf>. Acesso em 4 out MAPA das micro e pequenas empresas. Portal Brasil, 2 fev Disponível em <http://www.brasil.gov.br/economia-e-emprego/2012/02/o-mapa-das-micro-e-pequenasempresas>. Acesso em 30 ago MERCADO de segurança da informação no Brasil, O. Jornal do Brasil, 19 mar Disponível em <http://www.jb.com.br/sociedade-aberta/noticias/2013/03/19/o-mercadode-seguranca-da-informacao-no-brasil/>. Acesso em 30 ago MICRO e pequenas empresas empregam 52% dos profissionais formais do país. UOL Economia, São Paulo, 22 jan Disponível em <http://economia.uol.com.br/ noticias/infomoney/2013/01/22/micro-e-pequenas-empresas-empregam-52-dosprofissionais-formais-do-pais.htm>. Acesso em 30 ago

20 NIST. Framework for Improving Critical Infrastructure Cybersecurity - Version fev Disponível em <http://www.nist.gov/cyberframework/>. Acesso em 30 ago OXFORD, University of. Oxford Pocket - Dicionário bilíngue para brasileiros. New York: Oxford University Press, RESCORLA, Eric. SSL and TLS: Designing and Building Secure Systems. Boston: Addison-Wesley, REZENDE, Denis Alcides. Sistemas de Informações Organizacionais: guia prático para projetos em cursos de administração, contabilidade e informática. 4. ed. São Paulo: Atlas, REZENDE, Denis Alcides. Planejamento de Sistemas de Informação e Informática: guia prático para planejar a tecnologia da informação integrada ao planejamento estratégico das organizações. 4. ed. São Paulo: Atlas, SCHNEIER, Bruce. Applied Cryptography: Protocols, Algorithms, and Source Code in C. 2. ed. New York: Wiley, SCHNEIER, Bruce. CryptoGram Newsletter. Schneier on Security, 15 abr Disponível em <https://www.schneier.com/crypto-gram-0204.html>. Acesso em 30 ago SOMENZI, Sílvia. Expectativas do Mercado para Baguete, 16 de maio Disponível em <http://www.baguete.com.br/colunistas/colunas/50/silviasomenzi/16/05/2013/ expectativas-do-mercado-para-2013>. Acesso em 30 ago STUTTARD, Dafydd; PINTO, Marcus. The Web Application Hacker s Handbook: Finding and Exploiting Security Flaws. 2. ed. Indianapolis: Wiley, TANENBAUM, Andrew S. Redes de Computadores - tradução Vandenberg D. de Souza. 8. reimpressão. Rio de Janeiro: Elsevier, TSO, THE STATIONERY OFFICE. The Official Introduction to the ITIL Service Lifecycle. United Kingdom,

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA Descrição da(s) atividade(s): Indicar qual software integrado de gestão e/ou ferramenta

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI 1. PI06 TI 1.1. Processos a serem Atendidos pelos APLICATIVOS DESENVOLVIDOS Os seguintes processos do MACROPROCESSO

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

CONCURSO PÚBLICO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI ANALISTA DE GESTÃO RESPOSTAS ESPERADAS PRELIMINARES

CONCURSO PÚBLICO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI ANALISTA DE GESTÃO RESPOSTAS ESPERADAS PRELIMINARES CELG DISTRIBUIÇÃO S.A EDITAL N. 1/2014 CONCURSO PÚBLICO ANALISTA DE GESTÃO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI RESPOSTAS ESPERADAS PRELIMINARES O Centro de Seleção da Universidade Federal de Goiás

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0 TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO Brivaldo Marinho - Consultor Versão 1.0 CONTROLE DA DOCUMENTAÇÃO Elaboração Consultor Aprovação Diretoria de Informática Referência do Produto

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Referência: An Introductory Overview of ITIL v2 Livros ITIL v2 Cenário de TI nas organizações Aumento da dependência da TI para alcance

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 Conhecimento em Tecnologia da Informação Alinhamento Estratégico A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 2010 Bridge Consulting Apresentação

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

EXIN Cloud Computing Fundamentos

EXIN Cloud Computing Fundamentos Exame Simulado EXIN Cloud Computing Fundamentos Edição Maio 2013 Copyright 2013 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

O Valor da TI. Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação. Conhecimento em Tecnologia da Informação

O Valor da TI. Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação. Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação O Valor da TI Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação 2010 Bridge Consulting

Leia mais

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com COBIT Um kit de ferramentas para a excelência na gestão de TI Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com Introdução Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas

Leia mais

Por que utilizar o modelo ITIL

Por que utilizar o modelo ITIL Por que utilizar o modelo ITIL... O que não é definido não pode ser controlado... O que não é controlado não pode ser medido... O que não é medido não pode ser melhorado Empregado para definir, controlar,

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação CobiT 5 Como avaliar a maturidade dos processos de acordo com o novo modelo? 2013 Bridge Consulting All rights reserved Apresentação Sabemos que a Tecnologia da

Leia mais

Estratégias para avaliação da segurança da computação em nuvens

Estratégias para avaliação da segurança da computação em nuvens Academia de Tecnologia da IBM White paper de liderança de pensamento Novembro de 2010 Estratégias para avaliação da segurança da computação em nuvens 2 Proteção da nuvem: do desenvolvimento da estratégia

Leia mais

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança.

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda Managed Office Protection É fato, tanto pequenas e médias e grandes empresas enfrentam os mesmos riscos

Leia mais

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC NUCLEO CONSULTORIA EM SEGURANÇA Artigo SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO BRASIL, São Paulo Novembro, 2013 V.1.0 1. RESUMO Este artigo apresenta

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações CobIT Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações Eduardo Mayer Fagundes Copyright(c)2008 por Eduardo Mayer Fagundes 1 Agenda 1. Princípio de Gestão Empresarial

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

PARTE III Auditoria Conceitos Introdutórios

PARTE III Auditoria Conceitos Introdutórios FATERN Faculdade de Excelência Educacional do RN Coordenação Tecnológica de Redes e Sistemas Curso Superior de Tecnologia em Sistemas para Internet Auditoria em Sistemas de Informação Prof. Fabio Costa

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit.

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 2 Regras e Instruções: Antes de começar a fazer a avaliação leia as instruções

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 Dispõe sobre a aprovação do Documento Acessório Diferenciado "Política de Gestão de

Leia mais

A Biblioteca: Gerenciamento de Serviços de TI. Instrutor : Cláudio Magalhães E-mail: cacmagalhaes@io2.com.br

A Biblioteca: Gerenciamento de Serviços de TI. Instrutor : Cláudio Magalhães E-mail: cacmagalhaes@io2.com.br A Biblioteca: Gerenciamento de Serviços de TI Instrutor : Cláudio Magalhães E-mail: cacmagalhaes@io2.com.br 2 A Biblioteca ITIL: Information Technology Infrastructure Library v2 Fornece um conjunto amplo,

Leia mais

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS WALLACE BORGES CRISTO 1 JOÃO CARLOS PEIXOTO FERREIRA 2 João Paulo Coelho Furtado 3 RESUMO A Tecnologia da Informação (TI) está presente em todas as áreas de

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 13/06/2014 14:08:02 Endereço IP: 177.1.81.29 1. Liderança da alta administração 1.1. Com

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente;

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL Mas o que gerenciar? Gerenciamento de Serviço de TI. Infra-estrutura

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Governança de TI Evolução e Conceitos de Gestão da TI. Raimir Holanda raimir@tce.ce.gov.br

Governança de TI Evolução e Conceitos de Gestão da TI. Raimir Holanda raimir@tce.ce.gov.br Governança de TI Evolução e Conceitos de Gestão da TI Raimir Holanda raimir@tce.ce.gov.br Agenda Conceitos de Governança de TI Fatores motivadores das mudanças Evolução da Gestão de TI Ciclo da Governança

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

INTRODUÇÃO À GESTÃO DE TECNOLOGIA DA INFORMAÇÃO. Adriana Beal, Eng. MBA Maio de 2001

INTRODUÇÃO À GESTÃO DE TECNOLOGIA DA INFORMAÇÃO. Adriana Beal, Eng. MBA Maio de 2001 INTRODUÇÃO À GESTÃO DE TECNOLOGIA DA INFORMAÇÃO, Eng. MBA Maio de 2001 Apresentação Existe um consenso entre especialistas das mais diversas áreas de que as organizações bem-sucedidas no século XXI serão

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

ITIL - Information Technology Infraestructure Library

ITIL - Information Technology Infraestructure Library ITIL Biblioteca de infra estrutura de TI (do Inglês, Information Technology Infraestructure Library) e ISO/IEC 20.000 ITIL - Information Technology Infraestructure Library Foi criado no fim dos anos 80

Leia mais

MASTER IN PROJECT MANAGEMENT

MASTER IN PROJECT MANAGEMENT MASTER IN PROJECT MANAGEMENT PROJETOS E COMUNICAÇÃO PROF. RICARDO SCHWACH MBA, PMP, COBIT, ITIL Atividade 1 Que modelos em gestão de projetos estão sendo adotados como referência nas organizações? Como

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

CIO;Executivo de N 5 Identificar as dependências críticas e o desempenho atual 1 dia? Qua 01/09/10 Qua 01/09/10

CIO;Executivo de N 5 Identificar as dependências críticas e o desempenho atual 1 dia? Qua 01/09/10 Qua 01/09/10 Id Nome da tarefa Duração Início Término Predecessoras Qua, 01/Set Qui, 02/Set 18 0 6 12 18 0 6 12 1 Projeto de Implantacão da Governanca de TI com CobiT (Nível 3) 3 dias? Qua 01/09/10 Sex 03/09/10 2 PO

Leia mais

SISTEMA DE GESTÃO AMBIENTAL: ISO 14001. Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM

SISTEMA DE GESTÃO AMBIENTAL: ISO 14001. Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM SISTEMA DE GESTÃO AMBIENTAL: ISO 14001 Material Didático: IBB 254 Gestão Ambiental / 2015 Conceitos Gerais A gestão ambiental abrange uma vasta gama de questões, inclusive aquelas com implicações estratégicas

Leia mais

Secretaria de Gestão Pública de São Paulo. Guia de Avaliação de Maturidade dos Processos de Gestão de TI

Secretaria de Gestão Pública de São Paulo. Guia de Avaliação de Maturidade dos Processos de Gestão de TI Secretaria de Gestão Pública de São Paulo Guia de Avaliação de Maturidade dos Processos de Gestão de TI Objetivos As empresas e seus executivos se esforçam para: Manter informações de qualidade para subsidiar

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE Prof. Dr. Ivanir Costa Unidade III QUALIDADE DE SOFTWARE Normas de qualidade de software - introdução Encontra-se no site da ABNT (Associação Brasileira de Normas Técnicas) as seguintes definições: Normalização

Leia mais

Gerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br

Gerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR Gerenciamento de Riscos em Segurança da informação cynaracarvalho@yahoo.com.br

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

CobiT. MBA em Sistemas de Informação. Conteúdo. 1. Sumário Executivo. 2. Estrutura. 3. Objetivos de Controle. 4. Diretrizes de Gerenciamento

CobiT. MBA em Sistemas de Informação. Conteúdo. 1. Sumário Executivo. 2. Estrutura. 3. Objetivos de Controle. 4. Diretrizes de Gerenciamento MBA em Sistemas de Informação CobiT Conteúdo 1. Sumário Executivo 2. Estrutura 3. Objetivos de Controle 4. Diretrizes de Gerenciamento 5. Modelo de Maturidade 6. Guia de Certificação de TI 7. Implementação

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

EMC Consulting. Estratégia visionária, resultados práticos. Quando a informação se reúne, seu mundo avança.

EMC Consulting. Estratégia visionária, resultados práticos. Quando a informação se reúne, seu mundo avança. EMC Consulting Estratégia visionária, resultados práticos Quando a informação se reúne, seu mundo avança. Alinhando TI aos objetivos de negócios. As decisões de TI de hoje devem basear-se em critérios

Leia mais

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL MARÇO, 2015 ÍNDICE OBJETIVO 3 ESCOPO 3 DEFINIÇÕES Risco Inerente 4 DEFINIÇÕES Risco Operacional 4 DEFINIÇÕES Evento de Risco Operacional 4 FUNÇÕES E RESPONSABILIDADES

Leia mais

PLANOS DE CONTINGÊNCIAS

PLANOS DE CONTINGÊNCIAS PLANOS DE CONTINGÊNCIAS ARAÚJO GOMES Capitão SC PMSC ARAÚJO GOMES defesacivilgomes@yahoo.com.br PLANO DE CONTINGÊNCIA O planejamento para emergências é complexo por suas características intrínsecas. Como

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

ADMINISTRAÇÃO DE ATIVOS DE TI GERENCIAMENTO DE LIBERAÇÃO

ADMINISTRAÇÃO DE ATIVOS DE TI GERENCIAMENTO DE LIBERAÇÃO 1 ADMINISTRAÇÃO DE ATIVOS DE TI GERENCIAMENTO DE LIBERAÇÃO 2 INTRODUÇÃO A cada dia que passa, cresce a pressão pela liberação para uso de novas tecnologias disponibilizadas pela área de TI, sob o argumento

Leia mais

Contrato de Suporte End.: Telefones:

Contrato de Suporte End.: Telefones: Contrato de Suporte Contrato de Suporte Desafios das empresas no que se refere à infraestrutura de TI Possuir uma infraestrutura de TI que atenda as necessidades da empresa Obter disponibilidade dos recursos

Leia mais

NORMA ISO 14004. Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio

NORMA ISO 14004. Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio Página 1 NORMA ISO 14004 Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio (votação 10/02/96. Rev.1) 0. INTRODUÇÃO 0.1 Resumo geral 0.2 Benefícios de se ter um Sistema

Leia mais

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração.

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração. Cobit e ITIL GOVERNANÇA, GP - RISCO, GP PROJETOS - PMP, SEGURANÇA DAIANA BUENO OUTUBRO 20, 2010 AT 8:00 3.496 visualizações Atualmente, as empresas estão com seus processos internos cada vez mais dependentes

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Gerenciamento de Projeto

Gerenciamento de Projeto UNIVERSIDADE ESTADUAL PAULISTA INSTITUTO DE BIOCIÊNCIAS, LETRAS E CIÊNCIAS EXATAS DEPARTAMENTO DE CIÊNCIAS DE COMPUTAÇÃO E ESTATÍSTICA Gerenciamento de Projeto Engenharia de Software 2o. Semestre/ 2005

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Processos Técnicos - Aulas 1 a 3

Processos Técnicos - Aulas 1 a 3 Gerenciamento de Serviços de TI Processos Técnicos - Aulas 1 a 3 A Informática, ou Tecnologia da Informação, antigamente era vista como apenas mais um departamento, como um apoio à empresa. Hoje, qualquer

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Módulo 3. Interpretação da norma NBR ISO 19011:2002 requisitos: 6.2, 6.2.1, 6.2.2, 6.2.3, 6.2.4, 6.2.5, 6.3, 6.4, 6.4.1, 6.4.2, 6.4.

Módulo 3. Interpretação da norma NBR ISO 19011:2002 requisitos: 6.2, 6.2.1, 6.2.2, 6.2.3, 6.2.4, 6.2.5, 6.3, 6.4, 6.4.1, 6.4.2, 6.4. Módulo 3 Interpretação da norma NBR ISO 19011:2002 requisitos: 6.2, 6.2.1, 6.2.2, 6.2.3, 6.2.4, 6.2.5, 6.3, 6.4, 6.4.1, 6.4.2, 6.4.3 Exercícios 6.2 Iniciando a auditoria/ 6.2.1 Designando o líder da equipe

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais